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随 着 全 球 信息 化 程度 的 不 断 提高 ， 计 算 机 应 用 已 经 延伸 到 每 个 行业 的 各 个 领域 ， 成 为 人 们 日 常生 活 中 
不 可 或 缺 的 一 部 分 。 根 据 某 权威 机 构 调查 数据 显示 ， 截 至 2008 年 底 ， 全 球 正在 运行 的 计算 机 数量 已 经 超 
过 10 亿 台 ， 中 国 占 大 半 部 分 ， 在 未 来 5 年 时 间 内 ， 全 球 计算 机 数量 将 超过 20 亿 台 ， 并 且 中 国 增 速 会 超过 
其 他 国家 。 中 国 不 仅 是 计算 机 大 国 ， 而 且 是 受 病毒 侵扰 的 大 国 , 约 有 20% 的 计算 机 被 植 入 木马 ， 并 被 恶意 
用 户 所 动 持 和 控制 。 究 其 主要 原因 ， 大 多 是 用 户 安全 防范 意识 差 所 致 。 

许多 人 认为 Windows 操作 系统 是 不 安全 的 ， 其实 并 非 如 此 。 客 观 地 讲 ， 没 有 绝对 安全 的 操作 系统 ， 任 
何 操作 系统 的 安全 都 是 相对 的 。Linux 和 UNIX 也 并 非 固 若 金汤 ， 也 同样 会 有 系统 漏洞 ， 也 同样 会 遭遇 各 种 
攻击 。Windows Server 2008 已 经 度 过 了 她 一 岁 的 生日 ， 就 现在 的 情况 来 看 ， 无 论 安全 性 还 是 可 靠 性 都 得 
到 了 广大 用 户 的 认可 。 网 络 安全 同样 适用 于 “ 木 桶 原理 ”， 即 网 络 安全 涉及 诸多 方面 ， 而 最 终 导 致 问题 出 
现 的 往往 是 安全 性 最 差 的 那 块 “ 短 板 ”。Windows 系统 之 所 以 往往 充当 “ 短 板 ”角色 ， 原 因 并 不 在 于 操作 
系统 本 身 的 安全 架构 和 设计 。 即 使 操作 系统 本 身 已 经 很 安全 ， 但 因为 使 用 的 人 缺乏 安全 意识 ， 也 有 可 能 导 
致 操作 系统 在 提高 安全 性 方面 所 作 的 全 部 努力 付 之 东 流 。 

操作 系统 作为 所 有 计算 机 资源 的 “统治 者 ”， 是 一 切 应 用 程序 的 基础 和 核心 。 如 果 没 有 操作 系统 的 安 
全 ， 任 何 应 用 和 管理 都 无 从 谈 起 。 因 此 ， 操 作 系 统 的 安全 是 整个 计算 机 系统 安全 的 基础 。 做 事 效率 高 当然 
是 件 好事 ， 但 是 如 果 本 末 倒 置 ， 一 切 都 将 归 零 。 不 对 初 装 的 服务 器 系统 进行 安全 设置 就 投入 使 用 ， 无 异 于 
开发 商 没 拿 到 批文 就 开工 ， 司 机 没有 取得 驾驶 证 就 开车 上 路 ， 最 终结 局 只 有 一 个 一 一 自 食 恶 果 。 其 实 ， 许 
多 安全 入 侵 事 件 都 是 由 网 络 管理 员 或 用 户 的 疏忽 或 疏漏 所 导致 ， 如 果 合理 配置 、 全 面 扫描 、 完 善 各 种 审核 
机 制 ， 完 全 可 以 避免 大 多 数 的 攻击 。 

相对 于 Windows Server 2003，Windows Server 2008 的 最 大 改进 就 是 系统 安全 性 的 提升 。 在 继承 和 发 
展 了 原 有 安全 架构 的 基础 上 ， 新 推出 的 NAP( 网 络 访问 限制 技术 极 大 地 提高 了 网 络 客户 接 入 的 安全 性 ， 
RFM( 综 合 权 限 管理 ] 可 以 有 效 地 保护 敏感 数据 的 安全 , 只 读 域 控制 器 提高 了 活动 目录 的 安全 性 , 增强 型 VPN 
连接 则 能 确保 用 户 远程 访问 的 私密 性 。 

全 书 以 系统 安全 配置 为 中 心 ， 配 合 大 量 的 操作 演示 ， 从 多 个 角度 揭 开 Windows Server 2008 系统 安全 
的 神秘 面纱 。 本 书 共 分 为 15 章 , 主要 内 容 涵盖 Windows Server 2008 系统 基本 安全 措施 、 增强 型 安全 配置 、 
活动 目录 安全 、 防 火 墙 、NAP 等 多 个 方面 。 其 中 ， 重 点 的 网 络 应 用 安全 ， 如 活动 目录 、 文 件 服务 器 、NAP 
的 内 容 在 本 书 的 篇 幅 上 也 有 所 体现 。 

本 书 由 刘 晓 辉 、 李 利 军 编著 ， 田 俊 乐 、 李 海宁 、 赵 卫 东 、 刘 淑 梅 、 马 倩 、 杨 伏 龙 、 李 文俊 、 王 同 明 、 
石 长 征 、 莫 展 宏 、 白 华 、 郭 腾 、 王 淑 江 、 王 春海 、 陈 志 成 、 刘 国 增 、 王 延 杰 及 刘 红 等 也 参与 了 部 分 章节 的 
编写 工作 。 作 者 长 期 从 事 网 络 的 搭建 、 配 置 和 管理 工作 ， 具 有 丰富 的 网 络 管理 实践 经 验 ， 曾 经 出 版 过 多 部 
计算 机 类 图 书 ， 均 以 易 读 、 易 学 上 且 实用 的 特点 受到 众多 读者 的 一 致 好 评 。 本 书 是 作者 的 又 一 呕心沥血 之 作 ， 
希望 对 大 家 的 操作 系统 安全 配置 与 维护 工作 能 有 所 帮助 。 
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Windows Server 2008 是 Microsoft 公司 的 打 晶 之 
作 ， 是 目前 功能 最 强大 的 网 络 服务 器 操作 系统 ， 不 仅 系 
统 和 网 络 功能 有 了 一 定 的 扩展 ， 更 重要 的 是 安全 性 也 有 
了 很 大 提高 。Windows Update、Windows 防火 墙 、 安 全 
配置 向 导 、 防 间谍 软件 等 功能 ， 可 以 帮助 用 户 做 好 基本 
的 安全 防护 工作 。 车 想 完 全 利用 这 些 功 能 ， 打 造 无 懈 可 
击 的 服务 器 操作 系统 ， 就 必须 详细 了 解 这 些 功 能 ， 并 根 
据 需 要 进行 相应 的 设置 。 


全 关键 记 


Windows Server 2008 安装 安全 
Windows Server 2008 基本 安全 
Windows Server 2008 被 动 防御 


安全 


Windows Server 2008 系统 安全 


Os 


1.1 Windows Server 2008 安装 安全 


安装 操作 系统 是 一 切 应 用 和 配置 的 基础 。 安 装 方式 的 正确 与 否 将 直接 影响 后 续 安全 工作 的 开展 ， 因 此 
实施 安装 之 前 应 详细 了 解 Windows Server 2008 安装 注意 事项 。 如 果 是 升级 安装 方式 ， 还 应 及 时 下 载 补丁 
更 新 ， 以 免 导 致 升级 安装 的 失败 ， 或 者 升级 完成 后 带 来 的 安全 隐患 。 


i 


系统 安装 安全 指南 


安装 Windows Server 2008 时 应 注意 以 下 几 点 : 


12 


使 用 正版 Windows Server 2008 系统 安装 光盘 ， 防 止 安装 过 程 中 被 植 入 木马 或 间谍 软件 ， 影 响 系 
统 安全 性 。 另 外 ， 资 版 系统 安装 光盘 也 可 能 影响 计算 机 的 兼容 性 ， 导 致 一 些 莫 名 其 妙 的 问题 。 
保证 硬件 设备 的 可 靠 性 。 建 议 为 重要 服务 器 使 用 磁盘 阵列 元 余 技 术 ， 如 RAID 5 等 ,确保 服务 器 存 
储 系统 硬件 的 稳定 性 和 安全 性 。 

尽量 使 用 全 新 方式 安装 系统 ， 即 将 操作 系统 安装 在 一 个 干净 的 系统 分 区 中 ,并 提前 做 好 合理 规划 ， 
避免 安装 完成 后 重新 修改 系统 配置 带 来 的 麻烦 。 例 如 ， 安 装 之 前 删除 系统 分 区 的 所 有 文件 ， 并 重 
新 格式 化 ， 确 保 磁盘 完好 无 损 。 

使 用 NTFS 文件 系统 格式 化 服务 器 所 有 磁盘 分 区 ， 可 以 为 系统 分 区 、 数 据 分 区 和 日 志文 件 分 区 提 
供 更 高 的 安全 性 。NTFS 是 真正 的 日 志 性 文件 系统 ， 使 用 日 志和 检查 点 信息 ， 即 使 在 系统 崩溃 或 者 
电源 故障 的 时 候 也 可 以 保证 文件 系统 的 一 致 性 。 只 有 使 用 NTFS 格式 的 分 区 才能 为 文件 提供 访问 
权限 控制 ， 达 到 访问 控制 安全 的 目的 。 

没有 进行 任何 安全 配置 的 初 装 服务 器 不 要 与 任何 公共 设备 或 网 络 连接 ， 必 要 时 可 以 找 一 台 可 以 确 
保安 全 性 的 服务 器 进行 连接 。 

只 为 服务 器 安装 必需 的 协议 ， 如 TCP/IP 协议 ， 避 免 其 他 网 络 协议 给 系统 带 来 的 漏洞 。 

通常 情况 下 ， 不 要 将 服务 器 加 入 到 域 ， 而 安装 成 独立 服务 器 模式 。 

为 系统 管理 员 设 置 一 个 安全 性 较 高 的 密码 。 

不 要 在 服务 器 上 部 署 多 操作 系统 ， 防 止 恶 意 用 户 通过 其 他 系统 控制 权限 获取 重要 信息 ， 或 对 
Windows Server 2008 系统 进行 破坏 。 

如 果 条 件 允 许 ， 建 议 安装 英文 版 Windows Server 2008。 通 常情 况 下 ， 微 软 公司 总 是 最 先 发 布 英 
文 版 本 的 补丁 ， 中 文 版 本 的 补丁 相对 滞后 一 段 时 间 。 


安全 补丁 更 新 


安全 补丁 更 新 是 Windows 系统 必 不 可 少 的 安全 配置 。 默认 情况 下 , Windows Server 2008 安装 完成 后 ， 
自动 更 新 功能 是 未 配置 的 ， 管 理 员 必须 开启 并 指定 选择 相应 的 方式 ， 为 系统 下 载 、 安 装 补丁 更 新 ， 以 保护 
系统 的 安全 。 主 要 配置 步骤 如 下 。 

中 为 Windows Server 2008 配置 系统 更 新 之 前 , 每 次 启动 计算 机 后 都 会 在 任务 栏 的 右 侧 系统 托盘 中 ， 


显示 如 图 1-1 所 示 的 提示 信息 。 


@@ 单 击 此 提示 信息 打开 如 图 1-2 所 示 的 Windows Update 对 话 框 。 除 此 之 外 ， 在 “初始 配置 任务 ” 


窗口 的 “更 新 此 服务 器 ”选项 区 域 ， 以 及 在 “服务 器 管理 器 ”窗口 的 “安全 信息 ”选项 区 域 中 ， 
同样 可 以 启动 Windows Update 配置 向 导 。 


@ 


Te 


人 ”站 拓 烛光 9 方法 


a a 
更 新: 党 见 问题 
9 直 汪 和 到 放 鸭 要 和 
动 雪 装 更 新 区 他 Re 
eh Vindors em 天 且说 于 动 更 曾 计 划 * 
1-1 “此 时 未 自动 安装 更 新 ”提示 图 1-2 Windows Update 对 话 杠 


提示 : 只 有 第 一 次 配置 自动 更 新 时 才 会 显示 该 对 话 框 ， 以 后 将 不 再 显示 。 如 果 要 让 Windows 系统 自动 下 
载 并 安装 更 新 ， 可 直接 单 击 “ 将 Windows 设置 为 自动 安装 更 新 ”， 完 成 系统 更 新 配置 。 


单 击 “ 让 我 选择 ”， 打 开 如 图 1-3 所 示 的 “更 改 设置 ”对 话 框 。 在 “选择 Windows 安装 更 新 的 方 
法 ”中 ， 选 择 一 种 安装 方法 即 可 ， 各 种 安装 方式 的 具体 含义 如 下 。 

自动 安装 更 新 (推荐 ]: 服务 器 连接 到 Internet 后 ， 系 统 将 自动 检测 Microsoft Update 服务 器 是 否 
有 所 需 更 新 ， 如 果 有 则 将 自动 下 载 并 安装 这 些 更 新 。 选 择 该 单 选 按钮 后 还 需要 指定 系统 自动 安装 
更 新 的 具体 时 间 。 

下 载 更 新 ， 但 是 让 我 选择 是 否 安装 更 新 : 仅 下 载 所 需 的 系统 更 新 ， 完 成 后 通知 用 户 在 合适 的 时 间 
手动 安装 。 

检查 更 新 ， 但 是 让 我 选择 是 否 下 载 和 安装 更 新 : 仅 检测 Microsoft Update 服务 器 上 提供 的 更 新 项 
目 ， 并 以 列表 方式 提示 系统 管理 员 ， 管 理 员 可 以 根据 实际 情况 选择 需要 下 载 的 系统 更 新 。 建 议 使 
用 这 种 方式 ， 可 以 减少 不 必要 的 服务 器 资源 和 网 络 带 宽 浪 费 。 

从 不 检查 更 新 (不 推荐 ): 关闭 系统 更 新 功能 ， 建 议 不 要 选择 此 项 。 
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1-3 “更 改 设置 ”对 话 框 


© Fe 
1.2 Windows Server 2008 基本 安全 


Windows Server 2008 基本 安全 配置 包括 Internet 防火 墙 和 安全 配置 向 导 。 为 确保 Windows Server 
2008 服务 器 的 安全 ,安装 完成 之 后 应 立即 启用 并 配置 Internet 防火 墙 ， 以 便 防 止 黑客 或 恶意 软件 通过 网 络 
或 mternet 访问 计算 机 。 安 装 网 络 服务 之 后 ， 可 以 通过 安全 配置 向 导 有 针对 性 地 部 署 网 络 访问 安全 策略 。 


1.2.1 Internet 连接 防火 墙 


Internet 连接 防火 墙 (Internet Connection Firewall，ICF) 是 Windows 系统 的 内 置 防火 墙 ， 不 仅 可 以 阻 
止 来 自 外 部 网 络 的 恶意 访问 或 攻击 ， 还 可 以 阻止 当前 服务 器 向 其 他 计算 机 发 送 恶 意 软 件 。 默 认 情 况 下 ，ICF 
是 自动 开启 的 。 

1. 防火 墙 简介 


Windows Server 2008 的 ICF 是 一 种 典型 的 状态 防火 墙 ， 不 仅 可 以 监视 通过 其 路 径 的 所 有 通信 ， 并 且 
检查 所 处 理 的 每 一 条 消息 的 源 地 址 和 目的 地 址 ， 工 作 方 式 如 图 1-4 所 示 。 


图 1-4 Internet 防火 墙 的 工作 方式 


ICF 就 像 一 个 在 计算 机 和 外 部 Internet 之 间 建 立 的 “盾牌 ”， 可 以 允许 请 求 的 数据 包 通 过 ， 而 阻碍 那 
些 没 有 请 求 的 数据 包 ， 因 此 它 是 一 个 动态 数据 包 过 滤器 。 它 可 以 对 直接 连接 Internet 或 连接 在 运行 ICF 的 
“Internet 连接 共享 主机 ”后 的 计算 机 提供 保护 。 启用 后 , ICF 会 禁止 所 有 来 自 Internet 的 未 经 允许 的 连接 。 
为 此 ， 防 火 墙 使 用 “网 络 地 址 转换 器 (NAT )” 逻 辑 来 验证 访问 网 络 或 本 地 主机 的 入 站 请 求 。 如 果 网 络 通信 
不 是 来 自 受 保护 的 网 络 内 部 ， 或 者 没有 创建 任何 端口 映射 ， 入 站 数据 就 被 丢弃 。 

通常 情况 下 , 黑客 入 侵 的 第 一 步 就 是 找到 所 要 攻击 主机 的 I 地 址 ， 再 使 用 ping 命令 ping 通 该 主机 ( 表 
示 已 经 与 该 主机 建立 了 一 个 通道 )， 然后 对 主机 进行 端口 扫描 ， 察 看 哪些 端口 是 开放 的 ， 最 后 找 出 系统 漏洞 
进行 攻击 。 如 果 攻 击 个 人 电脑 ， 通常 是 通过 扫描 一 段 IP 地 址 开始 来 锁定 目标 ， 这 种 情况 下 ，ping 不 通 的 IP 
地 址 通常 被 认为 没有 使 用 而 忽略 过 去 。 因 此 ，ICF 的 第 一 个 功能 就 是 不 响应 ping 命令 ， 而 且 ，ICF 还 禁止 
外 部 程序 对 本 机 进行 端口 扫描 ,抛弃 所 有 没有 请 求 的 IP 数据 包 。 如 此 一 来 ， 可 以 被 黑客 利用 的 系统 漏洞 就 
很 少 了 。 

ICF 是 通过 保存 一 个 表格 ， 记 录 所 有 自 本 机 发 出 的 目的 IP 地 址 、 端 口 、 服 务 以 及 其 他 一 些 数据 来 达到 
保护 本 机 的 目的 。 当 一 个 IP 数据 包 进入 本 机 时 ，ICF 会 检查 这 个 表格 ,看 到 达 的 这 个 IP 数据 包 是 不 是 本 机 
所 请 求 的 ， 如 果 是 就 让 它 通 过 ， 如 果 在 这 个 表格 中 没有 找到 相应 的 记录 就 抛弃 这 个 IP 数据 包 。 
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2. 配置 Internet 防火 墙 
Windows Server 2008 系统 的 ICF 默认 情况 下 已 经 启动 ， 管 理 员 可 以 根据 需要 进行 配置 。 如 果 服 务 器 
已 经 连接 到 网 络 ， 则 网 络 访问 策略 的 设置 可 能 会 阻止 管理 员 对 Windows 防火 墙 的 配置 。 


@ 在 Windows Server 2008 的 “控制 面板 ”窗口 中 ， 双 击 “Windows 防火 墙 ”图 标 ， 显 示 如 图 1-5 
所 示 的 窗口 。 本 例 中 的 Windows 防火 墙 已 启用 。 


Ewindow pws 。 Windows 防火 培 
WEF Windoms EK. Windows 
日 


nternet Waseem 


Rep 


图 1-5 “Windows 防火 墙 ” 窗口 


@ 单 击 “ 启 用 或 关闭 Windows 防火 墙 ”链接 ， 打 开 如 图 1-6 所 示 的 “Windows 防火 墙 设置 ”对 话 
框 ， 系 统 默 认 选 择 “ 启 用 ” 单 选 按钮 。 如 果 同 时 选中 “阻止 所 有 传 入 连接 ” 复 选 框 ， 则 防火 墙 将 
阻止 所 有 主动 连接 当前 服务 器 的 尝试 ， 除 非 需 要 为 该 服务 器 提供 最 大 程度 的 保护 时 ， 才 使 用 该 设 
置 ， 启 用 该 设置 后 将 忽略 “例外 ”列表 中 的 所 有 设置 。 通 常情 况 下 ， 不 推荐 选择 该 复 选 框 。 

图 单 击 “ 例 外 ”或 者 在 “Windows 防火 墙 ”窗口 中 单 击 “ 人 允许 程序 通过 Windows 防火 墙 ”链接 ， 


则 显示 如 图 1-7 所 示 的 “例外 ”选项 卡 ， 在 “程序 或 端口 ”列表 框 选中 该 服务 器 欲 提供 的 网 络 服 
务 即 可 。 


图 1-6 “Windows 防火 墙 设置 ”对 话 框 图 1-7 “例外 ”选项 卡 


ES 
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G5 提示 : 在 “高 级 安全 Windows 防火 墙 ” 工具 中 ， 也 可 以 查看 Windows 防火 墙 的 “例外 ”设置 。 


图 单 击 “ 添 加 端口 ”按钮 ， 打 开 如 图 1-8 所 示 的 “添加 端口 ”对 话 框 ， 即 可 向 列表 中 增加 新 的 网 络 
服务 所 使 用 的 TCP 或 UDP 端口 。 在 “名 称 ” 文 本 框 中 输入 便于 识别 的 名 称 ， 如 telnet; 在 “端口 
号 ”文本 框 中 输入 想 要 添加 的 端口 ， 如 23; 根据 需要 选择 TCP 或 UDP 端口 类 型 。 

回 单 击 “ 更 改 范围 ”按钮 ， 打 开 如 图 1-9 所 示 的 “更 改 范围 ”对 话 框 。 指 定 详细 的 限定 范围 可 以 提 
高 防火 墙 策略 的 安全 性 。 默认 情况 下 ,开放 的 防火 墙 端口 适用 于 任何 计算 机 (包括 Internet 上 的 计 
算 机 )。 


图 1-8 “添加 端口 ”对 话 杠 图 1-9 “更 改 范围 ”对 话 框 


提示 : 选择 “ 仅 我 的 网 络 ” 单 选 按钮 ， 则 开放 端口 仅 适用 于 本 地 计算 机 所 在 子 网 ， 对 其 他 用 户 仍然 关闭 。 
选择 “ 自 定义 列表 ” 单 选 按钮 ， 则 可 以 根据 需要 指定 详细 的 IP 地 址 或 子 网 范围 。 


单 击 “ 高 级 ”标签 ， 切 换 至 如 图 1-10 所 示 的 “高 级 ”选项 卡 ， 在 “网 络 连接 设置 ”选项 区 域 ， 可 
以 设置 接受 Windows 防火 墙 保护 的 网 络 连接 ， 默 认为 所 有 本 地 连接 。 在 “默认 设置 ”选项 区 域 ， 
单 击 “ 还 原 为 默认 值 ”按钮 即 可 撤销 所 有 Windows 防火 墙 设置 , 恢复 至 初始 状态 。 需 要 注意 的 是 ， 
必须 是 本 地 计算 机 上 Administrators 组 的 成 员 ， 或 者 是 被 委派 了 适当 的 权限 的 用 户 ， 才 可 以 还 原 
Windows 防火 墙 默认 设置 。 如 果 计 算 机 已 经 加 入 到 某 个 域 中 , 则 DomainAdmins 组 的 成 员 可 以 执 
行 该 过 程 。 


图 1-10 “高 级 ”选项 卡 


| 提示 : 与 Windows Server 2003 的 Intemet 防火 墙 不 同 的 是 ，“ 高 级 ”选项 卡 中 的 “ICMP” 相 关 设 置 已 被 
转移 到 “高 级 安全 Windows 防火 墙 ” 中 。 


@ ” 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


1.2.2 ”安全 配置 向 导 


安全 配置 向 导 (SCW) 可 以 帮助 管理 员 快速 完成 创建 、 编 辑 、 应 用 和 回 滚 安全 策略 操作 。 用 户 可 以 根据 
需要 创建 针对 某 个 服务 器 角色 的 安全 策略 ， 并 且 可 以 将 其 应 用 到 其 他 服务 器 上 。 配置 和 应 用 SCW 时 应 注意 
以 下 几 点 : 
时。 SCW 禁用 不 需要 的 服务 并 提供 对 具有 高 级 安全 性 的 Windows 防火 墙 的 支持 。 
里 “使 用 SCW 创建 的 安全 策略 与 安全 模板 不 同 ， 其 中 前 者 扩展 名 为 xml， 而 后 者 扩展 名 为 ,inf。 用 户 创 
建 的 安全 策略 源 于 安全 模板 ， 安 全 模板 包含 的 安全 设置 可 以 应 用 于 所 有 的 服务 器 角色 。 
于 部署 SCW 安全 策略 后 并 不 会 影响 服务 器 提供 服务 时 所 需 的 组 件 ， 并 且 应 用 之 后 ， 管 理 员 仍 可 以 通 
过 服务 器 管理 器 安装 所 需 的 组 件 。 
和 ”应 用 SCW 安全 策略 之 后 ，SCW 将 自动 选择 所 有 从 属 角色 。 
时 “创建 和 应 用 SCW 安全 策略 时 ， 应 确保 服务 器 的 IP 协议 及 端口 配置 完全 正确 。 


1. 创建 安全 策略 


Q@ 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “安全 配置 向 导 ” 命 令 ， 打 开 如 图 1-11 所 示 的 “欢迎 使 用 安 
全 配置 向 导 ” 界 面 。 也 可 以 在 “开始 ”菜单 的 “开始 搜索 ”文本 框 中 输入 SCW 命令 ， 单 击 “ 确 定 ” 
按钮 来 启动 安全 配置 向 导 。 


欢迎 使 用 安全 配置 向 导 
访 a 
a 区 重信 人 特 wD 继续 之 前 请 确定 所 有 使 


炊 写 ne 为 实现 此 目的 ， 请 运 


着 要 继 绪 ,请 单 击 “ 下 一 步 ”。 


了 解 有 关 安全 配 因 向 呈 人 更 多 信息 


| 


1-11 “欢迎 使 用 安全 配置 向 导 ” 界 面 
加 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 1-12 所 示 的 “配置 操作 ”界面 。 
安全 配置 向 导 提 供 了 4 种 配置 操作 。 
”新 建安 全 策略 : 可 以 创建 用 于 配置 服务 、Windows 防火 墙 、Internet 协议 安全 (IPSec) 设 置 、 审 核 


[7] 


四 ED 


策略 和 特定 注册 表 设 置 的 安全 策略 。 安 全 策略 文件 是 XML 格式 文件 ， 默 认 保存 路 径 为 


9%systemroot%\security\msscwNPolicies 。 


sm 编辑 现 有 安全 策略 : 可 以 编辑 已 使 用 SCW 创建 的 安全 策略 。 必 须 先 选 择 “编辑 现 有 安全 策略 ”， 


才能 浏览 到 要 编辑 的 安全 策略 文件 所 在 的 文件 夹 。 编辑 的 策略 可 存储 在 本 地 或 网 络 共享 文件 夹 中 。 


于 ”应 用 现 有 安全 策略 : 使 用 SCW 创建 安全 策略 后 , 可 将 其 应 用 到 测试 服务 器 , 或 者 应 用 到 生产 环境 。 


提示 : 在 将 新 创建 或 新 修改 的 安全 策略 应 用 到 生产 环境 之 前 ， 首 先进 行 测试 ， 然 后 将 安全 策略 部 署 到 业 
” 务 系统 中 ， 测 试 可 使 新 策略 在 生产 环境 中 导致 意外 结果 的 可 能 性 降 至 最 低 。 


a 回 深 上 一 次 应 用 的 安全 策略 : 如 果 使 用 SCW 应 用 的 安全 策略 使 服务 器 功能 达 不 到 预期 的 效果 , 或 


者 导致 其 他 非 预期 结果 ， 则 可 以 回 滚 该 安全 策略 ， 将 自动 从 该 服务 器 删除 对 应 的 安全 策略 。 


现 有 安全 第 歼 廊 件 Y) 


yy 


了 解 有 关 王 置 担 作 8 更 多 信息 。 


| 
图 1-12 “配置 操作 ”界面 


注意 : 如 果 策略 是 在 “本 地 安全 策略 ”中 编辑 的 ， 在 应 用 策略 后 ， 这 些 更 改 就 不 能 回 滚 到 应 用 前 的 状态 。 
对 于 服务 和 注册 表 值 ， 回 滚 过 程 还 原 了 在 配置 过 程 中 更 改 的 设置 。 对 于 Windows 防火 墙 和 IPsec， 回 滚 过 
程 取消 当前 使 用 的 任何 SCW 策略 的 分 配 ， 并 重新 分 配 在 配置 时 使 用 的 前 策略 。 


如 果 是 第 一 次 使 用 安全 配置 向 导 ， 则 应 选择 “新 建安 全 策略 ” 单 选 按钮 。 

图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-13 所 示 的 “选择 服务 器 ”界面 。 在 “服务 器 ”文本 框 中 ， 输 入 
需要 进行 安全 配置 的 Windows Server 2008 服务 器 的 主机 名 或 IP 地址 。 也 可 以 单 击 “ 浏 览 ” 按 钮 ， 
选择 需要 进行 安全 配置 的 目标 计算 机 。 

@ 单 击 “ 下 一 步 ”按钮 ， 开 始 扫描 配置 数据 库 ， 主 要 包括 已 安装 或 运行 的 网 络 服务 、IP 地 址 及 子 网 
信息 等 。 扫 描 完成 后 显示 “正在 处 理 安全 配置 数据 库 ” 界 面 。 单 击 “ 查 看 配置 数据 库 ” 按 钮 ， 可 
以 查看 详细 扫描 结果 。 需 要 注意 的 是 ， 在 此 过 程 中 由 于 Internet Explorer 7.0 的 安全 设置 ， 可 能 会 
出 现 安全 提示 信息 。 单 击 “ 下 一 步 ” 按 钮 显示“ 基于 角色 的 服务 配置 ”界面 ， 如 图 1-14 所 示 。 
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图 1-13 “选择 服务 器 ”界面 


bb 
| 


图 1-14 “正在 处 理 安全 配置 数据 库 ” 和 “基于 角色 的 服务 配置 ”界面 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-15 所 示 的 “选择 服务 器 角色 ”界面 。 系 统 默认 选择 “安装 的 角 
色 ” 选 项 ， 即 只 设置 已 安装 服务 的 安全 策略 。“ 查 看 ”下 拉 列 表 框 中 提供 了 4 种 可 供 选择 的 抉择 
模式 。 

所 有 角色 : 列 出 所 有 的 Windows Server 2008 可 以 使 用 的 角色 。 

安装 的 角色 : 列 出 当前 服务 器 中 已 经 安装 的 角色 ， 包 括 没有 设置 的 角色 。 

未 安装 的 角色 : 列 出 当前 服务 器 中 没有 安装 的 角色 ， 不 包括 没有 设置 的 角色 。 


@ ED 
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于 ” 选 定 的 角色 : 列 出 当前 服务 器 中 已 经 选 定 的 角色 。 


选择 服务 器 角色 
这 些 服务 器 角色 用 于 启用 服务 并 打开 淇 口 。 一 个 服务 器 可 以 执行 条 个 角色 " 


厂 》 Werexeft iSCSI 发 起 程序 服务 
服务 器 


图 1-15 “选择 服务 器 角色 ”界面 


© 注意 ;为 了 保证 服务 器 的 安全 ， 仅 选择 所 需要 的 服务 器 角色 即 可 ， 如 本 例 中 选择 “Web 服务 器 ”。 选择 
多 余 的 服务 器 角色 ， 会 增加 Windows Server 2008 系统 的 安全 隐患 。 


单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 1-16 所 示 的 “选择 客户 端 功 能 ”界面 ， 可 以 选择 当前 服务 器 作为 


其 他 服务 器 的 客户 端 时 需要 使 用 的 功能 ， 如 自动 更 新 客户 端 等 。“ 查 看 ”下 拉 列 表 中 的 选项 与 “ 选 
择 服务 器 角色 ”中 的 完全 相同 ， 此 处 不 再 袭 述 。 


选择 客户 端 功能 
县 Se- 这 些 客户 六 功能 用 于 启用 服务 。 服务 器 可 以 支持 多 个 客户 济 Fe 


图 1-16 “选择 客户 端 功能 ”界面 


@ 单 击 “ 下 一 步 ” 按 钮 显示 如 图 1-17 所 示 的 “选择 管理 和 其 他 选项 ”界面 。 在 “选择 用 来 管理 选 
定 的 服务 器 的 选项 ”列表 中 ， 可 以 选择 相应 的 管理 选项 。 
单 击 “ 下 一 步 ”按钮 ， 显 示 “ 选 择 其 他 服务 ”界面 。 其 他 服务 是 指 当前 服务 器 上 已 经 安装 但 在 安 
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全 配置 数据 库 中 未 显示 的 服务 。 如 果 出 现 这 种 情况 ， 安 全 配置 向 导 将 在 “选择 其 他 服务 ”界面 上 
显示 已 安装 的 服务 列表 。 展 开 相 应 的 服务 即 可 查看 其 详细 运行 模式 ， 如 图 1-18 所 示 。 


图 1-17 “选择 管理 和 其 他 选项 ”界面 


图 1-18 “选择 其 他 服务 ”界面 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-19 所 示 的 “处 理 未 指定 的 服务 ”界面 。“ 未 指定 服务 ”是 指 安 


全 策略 配置 向 导 扫描 过 程 中 未 能 发 现 的 服务 ， 用 户 可 以 在 这 里 设置 其 运行 状态 ， 选 择 “ 不 更 改 此 
服务 的 启动 模式 ” 单 选 按钮 即 可 。 


两 者 处 理 方式 的 主要 区 别 如 下 。 


保持 服务 的 当前 启动 模式 : 如 果 选 择 此 选项 ， 则 在 应 用 此 安全 策略 的 服务 器 上 启用 的 未 指定 服务 
将 保持 启用 状态 ， 而 禁用 的 那些 服务 将 保持 禁用 状态 。 

禁用 服务 : 如 果 选 择 此 选项 ， 则 不 在 安全 配置 数据 库 中 的 或 未 安装 在 选 定 服务 器 上 的 所 有 服务 都 
将 被 禁用 。 


攻 于 工 六 
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图 1-19 “处 理 未 指定 的 服务 ”界面 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-20 所 示 的 “确认 服务 更 改 ” 界 面 ， 系 统 默认 只 显示 当前 服务 器 
上 正在 运行 的 服务 ， 服 务 的 启动 模式 可 以 是 “已 禁用 ”、“ 手 动 ”或 “自动 ”。 在 应 用 安全 策略 
后 ， 才 能 对 选 定 服务 器 做 出 更 改 。 


图 1-20 “确认 服务 更 改 ” 界 面 


@ 单 击 “下 一 步 ” 按钮， 显示“ 网 络 安全 ”界面 。 如 果 选 中 “ 跳 过 这 一 部 分 ” 复 选 框 ， 则 将 跳 过 “网 
络 安全 ”配置 部 分 。 建 议 不 要 跳 过 此 步骤 ， 继 续 按照 如 下 步骤 操作 。 单 击 “ 下 一 步 ” 按 钮 ， 显 示 
“网 络 安全 规则 ”界面 。 系 统 默认 显示 “所 有 规则 ”， 即 该 服务 器 上 目前 开放 的 所 有 端口 。 也 可 
以 在 “查看 ”下 拉 列 表 中 选择 其 他 查看 方式 。 单 击 安全 规则 前 面 的 三 角形 按钮 ， 还 可 以 查看 其 详 
细 信 息 ， 如 图 1-21 所 示 。 
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| 让 人 indows 防火 墙 规 刚 * 启用 了 先 定 的 规 


图 1-21 “网 络 安全 ”和 “网 络 安全 规则 ”界面 


提示 : 如 果 列 表 中 没有 列 出 需要 使 用 的 Windows 防火 墙 规 则 ， 可 以 单 击 “添加 ”按钮 ， 打 开 如 图 1-22 所 
示 的 “添加 规则 ”对 话 框 ， 将 其 添加 到 列表 中 。 在 “名 称 ”文本 框 中 ， 输 入 防火 墙 规则 的 名 称 ， 如 www， 
为 了 便于 区 分 ， 还 可 以 输入 相关 的 描述 信息 ; 在 “方向 ”选项 组 中 ， 选 择 “入 站 ” 单 选 按钮 ; 另外 ， 还 
可 以 根据 需要 在 “操作 ”选项 组 中 选择 相应 的 限制 连接 方式 。 


图 1-22 “添加 规则 ”对 话 框 


名 单 击 “ 下 一 步 ”按钮 ， 显 示 “ 注 册 表 设置 ” 界面。 通过 该 设置 可 以 修改 Windows Server 2008 服 
务 器 注册 表 中 的 一 些 特殊 键 值 ， 从 而 严格 限制 用 户 的 访问 权限 。 建 议 用 户 不 要 跳 过 此 步骤 。 单 击 
“下 一 步 ” 按钮， 显示 “要 求 SMB 安全 签名 ”界面 。 设 置 选 定 的 服务 器 和 客户 端的 通信 信息 ， 保 
持 系统 默认 的 全 部 选择 状态 即 可 ， 如 图 1-23 所 示 。 
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要 求 SWB 安全 签名 
下 列 信 息 确定 是 否 启用 或 要 求 服务 器 消息 块 BMD) 安 全 签名 。 


图 1-23 “注册 表 设置 ”和 “要 求 SMB 安全 签名 ”界面 


罗 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-24 所 示 的 “出 站 身份 验证 方法 ”界面 。 选 择 当前 服务 器 远程 连 
接 到 其 他 计算 机 时 使 用 的 身份 验证 方法 ， 如 果 是 在 域 网 络 中 进行 远程 登录 ， 则 选中 “ 域 账户 ” 复 
选 框 即 可 ， 如 果 是 工作 组 环境 ， 建 议 选 中 “远程 计算 机 上 的 本 地 账户 ” 复 选 框 。 


出 站 身份 验证 方法 
下 列 信息 用 于 确定 在 进行 出 站 连 按时 LAN Wenager 的 身份 验证 等 级 。 


图 1-24 “出 站 身份 验证 方法 ”界面 


四 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-25 所 示 的 “出 站 身份 验证 使 用 本 地 账户 ”界面 ， 此 界面 中 的 选 
项 与 所 选择 的 出 站 身份 验证 方法 有 关 ， 这 里 以 使 用 “远程 计算 机 上 的 本 地 账户 ”验证 方法 为 例 。 
通常 情况 下 ， 保 持 默 认 设置 即 可 。 
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图 1-25 “出 站 身份 验证 使 用 本 地 账户 ”界面 


提示 : 如 果 不 选择 任何 出 站 身份 验证 方法 ， 则 单 击 “ 下 一 步 ”按钮 将 提示 设置 入 站 设置 选项 ， 如 图 1-26 
所 示 。 入 站 身份 验证 方法 主要 用 于 确定 当 网 络 用 户 访问 当前 计算 机 时 需要 使 用 哪 种 身份 验证 方法 。 如 果 
设置 了 “出 站 身份 验证 方法 ” 则 不 会 出 现 该 对 话 框 . 


图 1-26 “入 站 身份 验证 方法 ”界面 


@@” 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-27 所 示 的 “注册 表 设 置 摘要 ”界面 ， 显 示 了 当前 安全 策略 中 所 
做 的 注册 表 安 全 设置 。 

四 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 审 核 策略 ”界面 。Windows 审核 策略 主要 用 于 审核 日 志 记 录 中 的 相 
关内 容 , 并 确定 受 影响 的 系统 对 象 。 安 全 策略 回 滚 功能 是 无 法 回 滚 安 全 向 导 中 的 审核 策略 设置 的 。 
单 击 “ 下 一 步 ”按钮 ， 显 示 “ 系 统 审核 策略 ”界面 。 选 择 需要 审核 的 目标 ， 选 择 “ 审 核 成 功 的 操 
作 ” 单 选 按钮 ， 即 只 审核 日 志 记录 中 操作 成 功 的 事件 记录 ， 如 图 1-28 所 示 。 

四 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-29 所 示 的 “审核 策略 摘要 ”界面 。 列 表 中 列 出 了 应 用 策略 时 ， 


FS 


@O we 


将 在 选 定 服务 器 上 对 审核 策略 进行 的 所 有 更 改 。 此 界面 显示 每 个 审核 策略 设置 的 当前 设置 和 由 策 
略 定义 的 设置 。 


图 1-27 “注册 表 设 置 摘要 ”界面 


图 1-28 “审核 策略 ”和 “系统 审核 策略 ”界面 


罗 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 保 存 安全 策略 ”界面 。 保 存 之 后 ， 即 可 将 该 安全 策略 应 用 到 当前 或 
其 他 服务 器 上 。 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-30 所 示 的 “安全 策略 文件 名 ”对 话 框 。 在 保存 
安全 策略 文件 的 路 径 之 后 输入 安全 策略 文件 名 ， 根 据 需 要 输入 相关 的 描述 信息 。 


提示 : 单 击 “包括 安全 模板 ”按钮 ， 还 可 以 向 当前 安全 策略 中 添加 其 他 安全 模板 中 的 安全 规则 ， 这 些 规 
则 将 拥有 较 高 的 优先 级 ，SCW 回 滚 功能 将 无 法 回 滚 已 经 应 用 的 策略 模板 中 的 规则 设置 。 
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图 1-29 “审核 策略 摘要 ”界面 


图 1-30 “安全 策略 文件 名 ”界面 


人 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-31 所 示 的 “应 用 安全 策略 ”界面 。 如 果 选 择 “ 现 在 应 用 ” 单 选 
按钮 ， 则 可 以 将 安全 策略 立即 应 用 到 当前 服务 器 ， 建 议 选 择 “ 稍 后 应 用 ” 单 选 按钮 ， 测 试 之 后 青 
应 用 到 服务 器 。 

图 单 击 “ 下 一 步 ”按钮 ,显示 如 图 1-32 所 示 的 “正在 完成 安全 配置 向 导 ” 界 面 。 单 击 “ 完 成 ”按钮 ， 
完成 安全 策略 的 设置 。 


2. 应 用 安全 配置 策略 


安全 配置 向 导 创建 的 安全 策略 可 直接 应 用 于 所 有 运行 Windows Server 2008 或 者 Windows Server 
2003 SP1/SP2/R2 操作 系统 的 网 络 服务 器 。 大 规模 应 用 安全 策略 之 前 必须 经 过 严格 测试 ， 确 认可 行 之 后 方 
可 部 署 。 应 用 安全 配置 策略 之 后 ， 必 须 重新 启动 计算 机 才 可 以 生效 。 应 用 安全 策略 的 主要 操作 步骤 如 下 。 
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图 1-31 “应 用 安全 策略 ”界面 


正在 完成 安全 配置 向 导 


您 已 经 成 功 地 充 成 了 安全 卫 置 向 号 。 
本 以 在 下 列 位 置 找到 您 创建 的 安全 征购， 
C:Windows\securitywwsscer\PoliciesVmmr 服 务 器 xl 


图 1-32 “正在 完成 安全 配置 向 导 ” 界 面 


名 ”依次 单 击 “开始 ”一 “管理 工具 ”一 “安全 配置 向 导 ”， 打 开 “ 安 全 配置 向 导 ” 对 话 框 ， 单 击 “ 下 
一 步 ”按钮 ， 在 “配置 操作 ”界面 中 ， 选 择 “ 应 用 现 有 安全 策略 ” 单 选 按钮 ， 在 “ 现 有 安全 策略 
文件 ”文本 框 中 输入 安全 策略 文件 的 路 径 ， 也 可 单 击 “ 浏 览 ” 按 钮 查找 ， 如 图 1-33 所 示 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-34 所 示 的 “选择 服务 器 ”界面 ， 在 “服务 器 ”文本 框 中 ， 输 入 
想 要 应 用 到 的 服务 器 名 称 或 IP 地 址 。 如 果 目 标 服务 器 为 远程 主机 ， 则 应 单 击 “ 指 定 用 户 账户 ” 按 
钮 ， 选 择 连接 到 指定 主机 部 署 安全 策略 使 用 的 用 户 账户 及 凭证 。 

图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1-35 所 示 的 “应 用 安全 策略 ”界面 ， 在 “安全 策略 描述 ”列表 框 
中 显示 的 是 该 策略 的 相关 描述 信息 ， 也 可 以 单 击 “查看 安全 策略 ”按钮 打开 “SCW 查看 器 ”窗口 ， 
查看 其 详细 信息 。 单 击 “下 一 步 ”按钮 ， 显 示 “ 正 在 应 用 安全 策略 ”界面 。 将 安全 策略 应 用 到 本 
地 计算 机 大 概 需要 几 分 钟 时 间 ， 应 用 到 远程 计算 机 时 所 需 时 间 可 能 更 长 一 些 。 
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图 1-34 “选择 服务 器 ”界面 


图 1-35 “应 用 安全 策略 ”和 “正在 应 用 安全 策略 ”界面 
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@ 
@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 1-36 所 示 的 “正在 完成 安全 配置 向 导 ” 界 面 。 


正在 完成 安全 配置 向 导 


对 您 已经 了 功 地 守成 了 安全 到 置身 导 * 
您 应 用 的 安全 第 跑 位 于 - 
CrWWindows\security\wsscw\PeliciesVnT 服 务 器 .xnl 


本 HH 应用 到 汉 定 的 服务 中 或 其 他 服务 器 ， 请 重新 运行 此 各 


车 要 关闭 此 句 导 ， 请 单 击 “完成 ”> 


ET 


图 1-36 “正在 完成 安全 配置 向 导 ” 界 面 
回 单 击 “ 完 成 ”按钮 ， 关 闭 安全 配置 向 导 。 重 新 启动 计算 机 后 ， 应 用 的 安全 策略 即 可 生效 。 


1.3 ”Windows Server 2008 被 动 防御 安全 


被 动 防御 安全 系统 主要 用 于 防范 入 侵 Windows Server 2008 系统 的 森马、 病毒 或 间谍 软件 ， 这 些 都 是 
影响 系统 安全 的 重要 方面 。 防 病毒 系统 主要 用 于 扫描 和 清除 计算 机 病毒 ， 保 护 计算 机 系统 和 应 用 程序 免得 
病毒 的 侵害 。 防 间谍 系统 则 可 以 帮助 系统 避免 间谍 软件 的 入 侵 ， 从 而 保护 重要 的 系统 数据 和 用 户 信息 。 


1.3.1 配置 防 病毒 系统 


病毒 对 于 计算 机 的 危害 性 是 不 言 而 喻 的 ， 轻 则 造成 应 用 程序 出 错 、 数 据 丢 失 ， 重 则 导致 系统 瘫痪 ， 其 
至 波及 网 络 中 的 其 他 计算 机 。 为 了 避免 病毒 对 系统 的 破坏 ， 应 注意 如 下 事项 : 

里。 服务 器 投入 应 用 之 前 必须 安装 防 病毒 软件 ， 并 升级 最 新 的 病毒 库 。 

于 确认 防 病毒 软件 来 源 的 合法 性 、 完 整 性 以 及 可 升级 性 。 

a ”应 用 过 程 中 ， 应 确保 防 病毒 系统 处 于 开启 状态 。 
刚 安装 完成 的 操作 系统 ， 应 进行 一 次 完整 的 病毒 扫描 。 

”查看 防 病毒 产生 的 日 志文 件 。 在 系统 运营 后 ， 经 常 查看 病毒 软件 产生 的 日 志文 件 。 

1. 计算 机 病毒 简介 

计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计算 机 使 用 
并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 病 毒 并 非 总 是 破坏 文件 或 计算 机 ， 但 它们 通常 会 影响 计算 
机 的 性 能 和 稳定 性 。 

计算 机 病毒 通常 具有 如 下 特性 : 

sm。 传染 性 。 
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”隐蔽 性 。 
”潜伏 性 。 
”破坏 性 。 
”表现 性 。 


2. 单机 防 病毒 系统 


单机 防 病 毒 系统 主要 是 指 单个 用 户 计 算 机 上 安装 的 病毒 查 杀 软件 ， 不 必 接 受 指定 服务 器 的 管理 ， 通 常 
都 是 通过 Internet 连接 到 官方 服务 器 下 载 最 新 病毒 库 。 单 机 防 病毒 系统 成 本 相对 较 低 ， 实 现 简单 ， 易 于 管 
理 ， 适 用 于 小 型 企业 局 域 网 或 SOHO 网 络 。 目 前 ， 针 对 单机 用 户 的 防 病毒 软件 很 多 ， 建 议 用 户 通过 正规 渠 
道 购买 正版 软件 ， 或 者 登录 相关 软件 的 官方 网 站 ， 下 载 试用 版 或 共享 版 。 

CD 瑞星 2008 


瑞星 杀毒 软件 是 国内 反 病 毒 软件 中 众多 计算 机 生产 商 首选 的 杀毒 软件 ， 目 前 最 新 版 本 是 瑞星 杀毒 软件 
2008， 它 集 病毒 防范 、 病 毒 扫描 、 查 杀 于 一 身 ， 具 有 扫描 速度 快 、 识 别 率 高 、 占 用 资源 少 等 优点 。 瑞 星 杀 
毒 软件 不 仅 可 以 保护 计算 机 系统 不 受 病毒 入 侵 ， 而 且 发 现 感染 病毒 后 ， 还 可 以 进行 自动 清除 。 瑞 星 杀 毒 软 
件 可 以 运行 于 Windows Server 2008 或 Windows Server 2003 等 服务 器 平台 。 如 图 1-37 所 示 ， 是 瑞星 杀毒 
软件 2008 的 主 窗口 。 


损 作 E 志 信息 中 心 
程序 拟态: 20.60.10 [5 ” 齐 | 。 请 村 扒 别 | 演 量 首页 | 示 卡 社区 | 
上 次 在 线 升 级 日 期 从 未 着 级 新 闻 资 读 | 


瑞星 杀 哥 软件 2000 有 次 公 弄 进 行 中 
病床 友 有 日 期 : 2006-09-02 10:24 网友 家 中 祖 伺 殷 ， 视 焕 辣 二 入 站 入 


的 你 分 肖 电 及 十 全 所 389: 织 别 
上 次 全 盘 下 未 日 期 ; 无 自 芝 力 能 让 1P 甘 得 Vit 安全 功能 
坊 星 革 和 合作 扒 旬 费 丰 坦 交 件 
从 里 认 角度 主 个 人 去 全 防 于 的 是 
inam: 安 全 便 式 下 的 查 病 考 广 光 
黑客 入 侵 finiovs 闻 偶 用 法 
A 可 sz 


导 电 及 安检 用 全 向 要 | 钦 件 升 绍 ”i 


3DING 瑞星 


图 1-37 “瑞星 杀毒 软件 ” 主 窗口 

(2) NOD32 

NOD32 是 ESET 公司 的 防 病毒 产品 ， 以 应 用 平台 广泛 著称 ， 支 持 的 平台 包括 DOS、Windows 
9x/NT/2000/XP/2003/Vista/2008， 以 及 Novell Netware Server、Linux、BSD 等 。 对 于 Windows 版 本 ， 
它 同 时 支持 32 位 和 64 位 平台 , 包括 Windows Vista 和 Windows Server 2008。 NOD32 在 线 监测 功能 严密 ， 
占用 内 存 资源 较 少 ， 清 除 病毒 的 速度 和 效果 都 令 人 满意 。 如 图 1-38 所 示 是 NOD32 单机 版 主 窗口 。 

(3) Windows Live OneCare 

Windows Live OneCare 是 微软 公司 推出 的 首 款 杀毒 软件 套件 , 包括 反 病 毒 防火 墙 、 数 据 备份 、 反 间谍 、 
磁盘 清理 等 功能 ， 几 乎 可 以 获 盖 所 有 的 个 人 安全 领域 。 随 着 时 间 的 推移 ， 相 信 会 更 加 适合 于 Windows 服务 
器 。Windows Live OneCare 这 项 全 面 的 服务 可 以 帮助 您 保护 计算 机 免 受 许多 不 同 种 类 的 威胁 ,还 可 以 帮助 
您 在 紧急 情况 下 备份 重要 文档 ， 并 定期 调整 计算 机 从 而 帮助 计算 机 稳定 运行 。 如 图 1-39 所 示 是 Windows 
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Live OneCare 主 窗 口 ， 需 要 注意 的 是 ， 目 前 仅 能 在 英文 版 Windows 操作 系统 中 使 用 。 
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图 1-38 NOD32 单机 板 主 窗口 
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图 1-39 Windows Live OneCare 主 窗口 


3. 网 络 防 病毒 系统 


网 络 防 病毒 系统 主要 应 用 于 大 、 中 型 企业 网 络 的 病毒 防御 工作 ， 相 对 于 单机 防 病毒 软件 而 言 ， 不 仅 防 
御 范围 广 、 功 能 强大 ， 而 且 可 管理 性 强 。 目 前 ， 广 泛 应 用 的 企业 杀毒 软件 有 Symantec AntiVirus 企业 版 、 
瑞星 杀毒 软件 企业 版 、McAfee 网 络 防 病毒 软件 等 。 网 络 防 病毒 系统 主要 由 服务 器 和 客户 端 两 部 分 组 成 。 主 
要 特点 就 是 客户 端 可 以 直接 通过 局 域 网 从 服务 器 获得 最 新 的 病毒 库 升级 文件 ， 并 且 管 理 员 可 以 通过 防 病毒 
服务 器 客户 端 监控 功能 ， 及 时 了 解 客 户 端的 运行 情况 ， 以 便 统 一 管理 和 部 署 。 因 此 ， 部 署 企业 杀毒 软件 系 
统 不 仅 可 以 节省 整个 网 络 的 带宽 开销 , 还 可 以 提高 网 络 安全 性 。 如 图 1-40 所 示 是 大 多 数 企 业 杀毒 软件 的 运 
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官方 防 病毒 服务 器 


ls | 提示 : 有 关 网 络 防 病毒 系统 部 署 的 详细 介绍 ,请 参考 本 书 “ 第 14 章 Windows 防 病毒 服务 ”中 的 相关 内 容 。 


(D 服务 器 端 

企业 杀毒 软件 系统 中 的 服务 器 端 是 指 安装 服务 器 管理 软件 的 计算 机 ， 可 以 直接 登录 杀毒 软件 官方 升级 
服务 器 ， 快 速 下 载 最 新 病毒 库 文件 。 管 理 员 可 以 通过 服务 器 端 对 下 属 的 二 级 服务 器 、 客 户 端 等 进行 统一 管 
理 ， 如 分 发 升级 文件 、 接 收 客户 端 病毒 报警 、 实 时 状态 监控 等 。 另 外 ， 服 务 器 端 通常 都 集成 适用 于 各 种 版 
本 操作 系统 的 客户 端 安装 程序 ， 管 理 员 可 以 直接 通过 局 域 网 安装 客户 端 ， 免 去 一 一 安装 的 麻烦 。 

(2] 客户 端 

客户 端 是 指 接受 网 络 防 病毒 服务 器 管理 的 所 有 计算 机 ， 必 须 安 装 与 服务 器 端 配套 的 杀毒 软件 ， 并 接受 
服务 器 的 管理 。 客 户 端 既 可 手动 连接 到 局 域 网 防 病毒 服务 器 、 更 新 病毒 库 ， 也 可 以 指定 为 自动 接收 来 自 服 
务 器 的 病毒 库 文 件 。 


1.3.2 配置 防 间 谍 系 统 


间谍 软件 通常 是 指 自动 安装 ， 或 者 未 提供 足够 通知 、 同 意 或 控制 的 情况 下 ， 就 在 计算 机 上 运行 的 应 用 
程序 。 一 般 情 况 下 ， 间 谍 软 件 在 感染 计算 机 后 可 能 不 会 显示 任何 症状 ， 但 许多 类 型 的 恶意 软件 或 不 需要 的 
程序 都 可 以 影响 计算 机 的 运行 方式 ， 如 监视 用 户 的 实时 行为 、 收 集 用 户 信息 等 。 目 前 的 防 间谍 软件 产品 很 
多 ， 应 根据 实际 情况 选择 一 款 适 合 自己 使 用 的 防 间谍 软件 产品 ， 同 时 注意 软件 来 源 的 合法 性 和 安全 性 ， 以 
及 间谍 软件 代码 更 新 库 的 升级 能 力 。 


1. 如 何 避 免 间谍 软件 


间谍 软件 和 木马 相 比 ， 实 现 原理 和 方法 更 多 。 间 谍 软 件 通常 有 两 种 主要 行为 : 第 一 ， 监 视 应 用 程序 运 
行 ， 收 集 重要 数据 并 发 送 到 软件 另 一 端的 操纵 者 ; 第 二 ， 通 过 捕捉 正 的 主页 和 搜索 页 面 的 设置 来 改变 目标 
系统 的 行为 ， 例 如 ， 擅 自修 改 主页 、 弹 出 广告 页 面 等 。 从 系统 安全 的 角度 考虑 ， 用 户 必 须 重 视 识别 间谍 软 
件 、 杜 绝 间谍 软件 。 
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(GD 定期 运行 反 间 谍 软 件 
反 间 谍 软 件 可 以 定期 进行 扫描 以 发 现 隐藏 的 间谍 软件 , 例如 Ad-Aware, Spybot 等 。 在 Windows Server 
2008 中 ， 用 户 可 以 通过 配置 系统 内 置 的 Windows Defender， 避 免 间谍 软件 的 入 侵 。 
(2] 避免 通过 P2P 方式 下 载 文件 
不 要 通过 P2P 下 载 任何 可 疑 文件 ， 尤 其 是 可 执行 程序 或 压缩 包 ， 将 间谍 软件 同 其 他 文件 进行 捆绑 ， 是 
其 主要 传播 途径 之 一 。 
(3] 关闭 邮件 的 预览 功能 
如 果 电 子 邮 件 中 包含 间谍 软件 ， 则 打开 或 预览 邮件 内 容 的 同时 ， 可 能 激活 间谍 程序 。 关 闭 预 览 面板 的 
预览 功能 ， 这 样 可 以 在 不 打开 的 情况 下 就 直接 删除 信息 。 
(4) 安装 软件 之 前 仔细 阅读 EULA 
在 安装 软件 之 前 ， 请 仔细 阅读 终端 用 户 许可 协议 (EULA，End User License Agreements)， 因 为 有 些 终 
端 用 户 许可 协议 会 告诉 你 如 果 安 装 了 本 软件 ， 也 就 同时 决定 安装 这 个 软件 中 带 有 的 间谍 软件 。 另 外 还 要 查 
看 一 些 独立 的 信息 源 ， 因 为 有 些 终端 用 户 许可 协议 不 会 告诉 你 有 间谍 软件 的 存在 。 
(5] 合理 设置 IE 浏览 器 的 安全 级 别 
正 浏览 器 为 用 户 提供 了 多 个 安全 级 别 , 通常 情况 下 , 严格 的 安全 级 别 可 以 限制 大 部 分 通过 IE 入 侵 的 间 
谍 软 件 ， 建 议 设置 为 中 级 ， 甚 至 高 级 安全 级 别 ， 禁 止 浏览 器 安装 任何 你 没有 要 求 的 ActiveX 控件 。 
2. 部 署 防 间谍 软件 注意 事项 
在 安装 防 间谍 软件 时 应 注意 如 下 事项 : 
”建议 配置 成 系统 启动 时 自动 启动 防 间 谍 软件 。 
定制 自动 更 新 闻 谍 软件 代 但 库 。 
定制 在 指定 时 间 之 内 扫描 系统 的 完整 信息 。 
启动 实施 监视 系统 。 
定制 应 用 程序 许可 策略 。 
保存 并 定期 察看 日 志 信息 。 
3. Windows Defender 
为 了 应 对 网 络 中 泛滥 的 木马 、 间 谍 等 恶意 软件 对 系统 安全 的 挑战 ， 微 软 也 推出 了 反 木 马 、 间 谍 软 件 的 
专用 程序 Windows Defender。Windows Defender 的 前 身 是 Giant 公司 的 Giant Antispyware， 微 软 将 该 公 
司 收购 后 便 将 其 更 名 为 Windows Defender。 
(1) Windows Defender 概述 
Windows Defender 是 微软 公司 提供 的 一 款 免 费 组 件 ， 并 且 在 Windows Vista 和 Windows Server 2008 
系统 中 , Windows Defender 已 经 成 为 系统 默认 安装 的 安全 组 件 之 一 。 Windows Defender 具有 如 下 主要 功能 。 
和 ”提供 完备 的 恶意 软件 清除 功能 : Windows Defender 在 扫描 查 杀 的 同时 ,还 会 对 恶意 软件 添加 的 文 
件 以 及 修改 的 注册 表 内 容 进 行 同步 检测 和 删除 ， 清 除 比 较 干净 。 
”与 杀毒 软件 相得益彰 : Windows Defender 是 设计 用 来 检测 、 删 除 或 隔离 用 户 电脑 中 的 已 知 或 可 疑 
间谍 软件 的 安全 防御 工具 ， 针 对 的 是 杀毒 工具 无 法 处 理 的 恶意 软件 ， 所 以 并 不 会 和 系统 中 安装 的 
防 病毒 软件 冲突 ， 相 反 两 者 配合 工作 ， 安 全 防御 效果 会 更 好 。 
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”提供 多 种 灵活 扫描 方式 ，Windows Defender 提供 如 下 3 种 扫描 方式 ， 用 户 可 根据 实际 需要 选择 。 

e ”Quick Scan: 它 可 以 扫描 间谍 软件 常用 的 安装 目录 , 可 以 在 最 短 的 时 间 里 发 现 大 多 数 间谍 软件 。 

e ”Full Scan: 它 可 以 扫描 计算 机 中 的 全 部 硬盘 分 区 以 及 全 部 文件 夹 。 这 种 扫描 方式 非常 彻底 ， 
但 是 耗 时 较 多 ， 具 体 的 耗 时 根据 用 户 的 硬盘 大 小 以 及 文件 多 少 来 决定 。 另 外 ， 扫 描 过 程 中 ， 
系统 的 整体 运行 速度 会 有 所 下 降 。 

e Custom scan: 在 这 种 方式 下 ， 用 户 可 以 选择 所 要 扫描 的 硬盘 分 区 和 文件 夹 。 如 果 Windows 
Defender 在 这 种 模式 下 发 现 了 间谍 软件 ， 将 进而 启动 Quick Scan 模式 对 间谍 软件 进行 清除 或 
隔离 。 

里 “实时 监控 功能 : Windows Defender 最 大 的 特点 在 于 当 恶意 软件 试图 入 侵 计 算 机 时 ， 会 自动 提醒 用 

户 。 需 要 注意 的 是 , 只 有 当 恶 意 软件 是 与 其 他 软件 捆绑 安装 时 ,Windows Defender 才 会 警报 提醒 ， 

而 当 直 接 安装 恶意 软件 时 ， 则 不 会 表现 任何 动作 。 

ms ”管理 员 可 以 监控 用 户 行为 : 管理 员 可 以 允许 用 户 使 用 Windows Defender 扫描 计算 机 ， 在 发 现 可 
疑 程序 后 选择 相应 的 执行 动作 ， 以 及 查看 Windows Defender 的 活动 记录 。 管 理 员 还 可 以 限制 
Windows Defender 的 管理 权限 。 在 默认 情况 下 ， 任 何 用 户 都 可 以 使 用 Windows Defender。 

(2] 配置 Windows Defender 选项 


如 果 不 希 望 每 次 都 使 用 Windows Defender 的 默认 设置 扫描 系统 ， 可 以 在 Windows Defender 窗口 中 ， 
单 击 “ 工 具 ” 按 钮 进行 自 定义 配置 打开 “工具 和 设置 ”对 话 框 ， 继 续 单 击 “ 选 项 ”链接 ， 打 开 如 图 1-41 
所 示 的 窗口 ， 在 这 里 可 以 设置 包括 自动 扫描 、 实 时 保护 选项 、 默 认 操 作 、 管 理 员 选项 等 在 内 的 Windows 
Defender 高 级 选项 。 
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迁 泽 志 在 洽 沸 到 员 有 有 这 蔚 委 还 光世 的 昌林 世 沉 誉 Windows Defendar 显示 的 返 人 F 音 在 生动 扫 后 中 迁 中 此 直 胡 , 则 
为 里 Windows Defender 站 0 妆 伯 ， 了 皮 Windows Deiender 号 
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图 1-41 配置 Windows Defender 选项 
里。 自动 扫描 : 在 “自动 扫描 ”选项 区 域 ， 选 中 “自动 扫描 计算 机 ” 复 选 框 ， 然 后 设置 适当 的 扫描 频 
率 (如 每 天 、 每 周 等 ) 和 执行 扫描 的 时 间 ， 并 在 “类 型 ”下 拉 列 表 中 选择 希望 执行 的 扫描 方式 即 可 。 
建议 选中 “扫描 前 检查 更 新 的 定义 ” 复 选 框 ， 以 便 确 保 Windows Defender 定义 库 的 最 新 状态 。 
”默认 操作 :在 “默认 操作 ”选项 区 域 中 , 可 设置 在 不 同 警报 级 别 下 所 执行 的 操作 。 Windows Defender 
默认 提供 3 种 警报 等 级 ， 分 别 为 高 警报 项 目 、 中 等 警报 项 目 和 低 警 报 项 目 。 用 户 可 以 根据 需要 为 
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每 一 种 警报 等 级 的 项 目 设置 不 同 的 操作 ， 如 对 于 扫描 过 程 中 发 现 的 “高 警报 项 目 ”， 可 以 直接 将 
默认 操作 定义 为 “删除 ”， 对 于 低 警 报 项 目 则 可 以 设置 为 “忽略 ”。 


高 警报 项 目 。 可 能 搜集 个 人 信息 并 对 您 的 隐私 产生 负面 影响 或 损害 计算 机 的 程序 ， 例 如 ， 通 
常 在 未 经 用 户 允 许 的 情况 下 ， 搜 集 信息 或 更 改 设置 。 建 议 立即 删除 此 类 项 目 。 

中 等 警报 项 目 。 可 能 影响 用 户 的 隐私 或 更 改 计算 机 对 计算 体验 产生 负面 影响 的 程序 ， 例 如 ， 
搜集 个 人 信息 或 更 改 设置 。 对 于 此 类 项 目 ， 建 议 用 户 复查 警报 详细 信息 ， 查 看 为 何 会 检测 到 
此 软件 。 如 果 不 喜欢 软件 的 操作 方式 ， 或 如 果 不 了 解 和 信任 发 行者 ， 则 考虑 阻止 或 删除 此 类 
项 目 。 

低 警 报 项 目 。 可 能 不 需要 的 软件 会 搜集 有 关 用 户 或 计算 机 的 信息 , 或 更 改 计算 机 的 运行 方式 ， 
但 它 按照 协议 操作 ， 安 装 时 会 显示 许可 条 款 。 此 类 项 目 应 视 情 况 而 定 ， 如 果 安 装 之 前 提示 相 
关 信 息 及 安装 结果 ， 则 可 以 保留 。 如 果 不 能 确定 信任 该 软件 的 发 行者 ， 则 建议 删除 。 


实时 保护 选项 : 在 如 图 1-42 所 示 的 “实时 保护 选项 ”区 域 中 ， 选 中 “使 用 实时 保护 ” 复 选 框 ， 即 
可 启用 Windows Defender 实时 保护 功能 。Windows Defender 实时 保护 的 项 目 包括 系统 配置 、 
Internet Explorer 加 载 项 、Internet Explorer 配置 、 服 务 和 驱动 程序 、 应 用 程序 执行 、 应 用 程序 注 
册 、Windows 加 载 项 等 。 默 认 情况 下 ，Windows Defender 已 经 对 所 有 安全 代理 组 件 开 启 实时 保 
护 功能 。 
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的 Inernet Explorer 瑟 重 ( 届 午 ) 旧 
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透 涯 Windows Defender 应 沪 明 吉安 的 情 殉 - 
置 兹 未 进行 风险 分 类 的 软件 但 ) 
加 由 允许 运行 的 软件 对 计算 机 进行 的 更 改 (G) 


十 择 同 时 在 间 知 区 域 忆 示 Windows Defendar 桓 二 - 
回 仅 在 Windows Defender 裕 测 29 要 采取 的 所 作 31(O) 
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图 1-42 实时 保护 选项 


高 级 选项 : 在 如 图 1-43 所 示 的 “高 级 选项 ”选项 区 域 中 ， 用 户 可 以 对 Windows Defender 扫描 时 
的 如 下 4 个 高 级 选项 进行 设置 : 


扫描 存档 文件 和 文件 夹 内 容 是 否 存 在 潜在 的 威胁 。 扫 描 这 些 位 置 可 能 会 延长 扫描 时 间 ， 但 间 
谍 软 件 和 其 他 可 能 不 需要 的 软件 会 自行 安装 并 试图 “隐藏 ”在 这 些 位 置 中 。 

使 用 启发 式 检测 尚未 分 析 风 险 的 软件 的 有 害 或 不 需要 的 行为 。 Windows Defender 使 用 定义 文 
件 识别 已 知 威胁 ， 但 它 还 可 以 检测 未 在 定义 文件 中 列 出 的 软件 的 可 能 有 害 或 不 需要 的 行为 ， 


并 向 用 户 发 出 警报 。 


e ”在 对 检测 到 的 项 应 用 操作 之 前 创建 还 原点 。 由 于 可 以 将 Windows Defender 设置 为 自动 删除 检 
测 到 的 项 目 ， 因 此 如 果 要 使 用 原本 不 想 删除 的 软件 ， 则 可 以 选择 此 选项 还 原 系统 设置 。 

e 不 要 扫描 这 些 文件 或 路 径 。 使 用 此 选项 可 以 选择 任何 用 户 不 希望 Windows Defender 扫描 的 文 
件 和 文件 夹 。 

TIRE 三 


Windows 


Defender 
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启 月 Windows Defender 对 , 如果 阿 课 软件 或 其 他 可 能 不 秀 要 的 软件 斌 本 在 计算 机 上 运行 或 我 雪 秩 ,所 有 用 广 攻 
格 收 型 堵 报 ，Windows Defender 梅 痊 可 新 定义 、 十 对 扫 丘 计算 机 并 号 动 消除 反 汪 从 油 到 的 有 害 次 件 , 
国 纪 许 任何 人 使 用 Windows DefendertU 
允许 不 具有 管理 员 权 限 的 所 户 扫 窜 计算 机 、 迁 泽 频 用 到 可 能 不 雪 要 的 软件 的 担 作 、 复 查 所 有 Windows Defender 
Rh, 


图 1-43 高 级 选项 


时 “管理 员 选 项 : 在 “管理 员 选 项 ”区 域 中 ， 选 中 “使 用 Windows Defender” 复 选 枉 ， 当 间谍 软件 或 
其 他 潜在 不 安全 的 软件 试图 运行 或 安装 在 计算 机 上 时 ， 用 户 将 收 到 Windows Defender 发 出 的 警 
报 ; 车 选中 “允许 任何 人 使 用 Windows Defender” 复 选 枉 ， 则 允许 没有 管理 员 权 限 的 用 户 使 用 
Windows Defender。 
(3】 更 新 Windows Defender 定义 库 
使 用 Windows Defender 时 ， 保 持 其 定义 库 处 于 最 新 状态 是 非常 重要 的 。 定 义 是 一 些 文件 ， 其 中 包含 
了 己 知 间谍 软件 和 其 他 可 能 不 需要 的 软件 的 特征 代码 ， 类 似 于 防 病毒 程序 的 病毒 库 。 由 于 间谍 软件 在 不 断 
发 展 ，Windows Defender 依靠 更 新 定义 来 确定 正 尝试 在 计算 机 上 安装 、 运 行 或 更 改 设置 的 软件 是 否 为 可 能 
不 需要 的 软件 或 恶意 软件 。 
在 配置 Windows Defender 自动 扫描 时 ， 如 果 选 中 “扫描 前 检查 更 新 的 定义 ” 复 选 框 ， 即 可 将 其 配置 
为 自动 更 新 定义 。 除 此 之 外 ， 用 户 还 可 以 通过 手动 方式 更 新 Windows Defender 定义 库 。 在 Windows 
Defender 窗口 中 , 单 击 “ 帮 助 ”按钮 旁边 的 箭头 ， 并 选择 “检查 更 新 ” 即 可 。 为 确保 计算 机 安全 ，Windows 
Defender 会 在 定义 文件 过 期 超过 7 天 未 更 新 时 通知 用 户 ， 此 时 直接 单 击 “ 立 即 检查 更 新 ”按钮 即 可 。 显 示 
如 图 1-44 所 示 。 
(4) 注意 事项 
默认 情况 下 ， 服 务 器 系统 都 是 使 用 最 小 方式 安装 的 ， 所 以 Windows Defender 组 件 不 会 出 现在 控制 面 
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板 中 。 管 理 员 可 以 通过 “管理 服务 器 ”控制 台 ， 启 动 “ 添 加 功能 向 导 ” 对 话 框 ， 在 “功能 ”列表 框 中 ， 选 
中 “桌面 体验 ”组 件 并 安装 ， 如 图 1-45 所 示 。 安 装 完成 后 即 可 配置 和 使 用 Windows Defender。 
到 Windows Deiender 3 el 


SB 1544，( 忆 9) 
的 二 天 2200, 


局 
全 娃 于 2008/613 1534 ,版 不 135240。 


图 1-44 更 新 Windows Defender 
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图 1.45 “添加 功能 向 导 ” 对 话 框 
1.4 Windows Server 2008 系统 安全 


Windows Server 2008 系统 提供 的 系统 安全 涉及 诸多 方面 ， 例 如 ， 应 用 程序 安全 、 注 册 表 安 全 、 系 统 
服务 安全 、 文 件 权限 安全 、 用 户 账 户 安全 、 活 动 目 录 安 全 、 注 册 表 安 全 、 组 策略 安全 、 端 口 安全 、 网 络 服 
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务 安全 等 。 任 何 一 处 隐藏 的 系统 安全 漏洞 ， 都 可 能 会 招致 整个 系统 安全 的 灭顶 之 灾 。 


1.4.1 应 用 程序 安全 


在 服务 器 上 安装 正常 使 用 的 应 用 程序 (包括 更 新 的 下 浏览 器 版 本 )， 同 时 安装 配置 选择 好 用 来 提供 网 络 
服务 的 程序 (例如 IIS 服务 、FTP 服务 、SQL Server 数据 库 服务 等 )。 非 必要 运行 服务 器 操作 系统 的 计算 机 不 
要 登录 到 Internet。 

在 配置 系统 应 用 程序 时 ， 应 注意 以 下 事项 : 

里“ 不 要 安装 任何 多 余 的 程序 。 服 务 器 仅 提供 网 络 服务 ， 不 需要 安装 任何 服务 以 外 的 程序 。 

时。 安装 服务 和 应 用 程序 ， 尽 量 选择 最 新 的 安装 版 本 ， 这 样 ， 通 常 可 以 保证 没有 近期 发 布 的 程序 漏洞 。 

不 需要 的 应 用 程序 服务 尽量 不 要 安装 ， 或 者 配置 为 禁用 模式 。 

”通常 不 要 在 服务 上 运行 系统 提供 的 应 用 程序 访问 网 络 ， 服 务 器 的 漏洞 有 时 会 被 恶意 利用 。 

和 ”卸载 安装 Windows Server 2008 过 程 中 默认 安装 的 画图 、 计 算 器 等 非 必要 应 用 程序 ， 通 常 仅 保留 

记事 本 或 写字 板 即 可 。 
里 “建议 删除 甚至 拒绝 在 服务 器 上 安装 Microsoft Office 或 者 其 他 的 日 常 办 公 软 件 。 
”不 要 在 服务 器 上 运行 任何 开发 工具 、 软 件 调试 器 、 启 区 读 写 编辑 器 等 可 对 操作 系统 底层 进行 操作 
的 应 用 软件 ， 可 执行 程序 越 少 越 好 。 

里 “服务 器 设置 严格 的 权限 许可 ， 共 享 文件 的 访问 建议 使 用 ACL 权限 控制 。 

日 ”对 系统 文件 夹 (x:\windows,x:\windows\system 等 ] 使 用 ACL 控制 ， 避 免 赋 予 系统 文 件 夹 “ 写 入 ” 
的 权限 。 

”服务 器 的 IP 地 址 设置 为 静态 IP。 


© 注意 ， 应 了 解 要 安装 的 程序 是 否 存在 缺陷 ， 如 正 、Outiook、Media Player 等 微软 提供 的 程序 可 能 含有 漏 
洞 。 建 议 经 常 到 微软 的 网 站 上 查看 最 新 的 安全 公告 ， 或 者 接受 微软 的 安全 邮件 列表 。 


1.4.2 ”系统 服务 安全 


安装 操作 系统 的 同时 ， 也 会 自动 安装 大 量 服务 。 但 是 ， 运 行 的 服务 越 多 ， 可 能 造成 的 安全 漏洞 也 越 多 ， 
同时 还 会 占用 大 量 的 系统 资源 。 而 对 于 有 能 力 利用 服务 特权 和 功能 来 访问 本 地 Web 服务 器 或 其 他 网 络 服务 
器 的 不 法 入 侵 者 来 说 ， 服 务 是 最 主要 的 漏洞 点 。 不 验证 客户 端 身份 的 服务 、 使 用 不 安全 协议 的 服务 、 特 权 
太 多 的 服务 等 都 将 带 来 风险 。 服 务 越 少 、 漏 洞 越 少 、 系 统 越 安 全 。 

配置 系统 服务 时 应 注意 以 下 事项 : 
根据 服务 的 描述 以 及 业务 的 需求 ， 确 定 是 否 使 用 此 服务 。 
具体 每 个 服务 的 内 容 和 功能 ， 请 参考 微软 的 说 明和 咨询 业内 安全 专家 。 
禁止 或 者 设置 成 手动 启动 的 方式 处 理 系统 非 必需 的 服务 。 
如 对 系统 可 能 造成 的 影响 不 了 解 ， 在 测试 环境 中 测试 验证 通过 以 后 ， 青 在 应 用 环境 中 部 署 。 
对 于 安装 应 用 程序 同步 安装 的 服务 ， 如 无 必要 ， 应 将 其 关闭 。 

依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “服务 ”， 即 可 打开 “服务 ”控制 台 窗 口 ， 并 列 出 本 地 计算 机 中 
所 有 的 服务 ， 如 图 1-46 所 示 。 
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图 1-46 默认 安装 的 服务 列表 


系统 服务 的 处 理 不 同 于 其 他 设置 ， 因 为 所 有 服务 的 漏洞 、 对 策 及 潜在 影响 在 本 质 上 都 一 样 。 第 一 次 安 
装 Windows Server 2008 操作 系统 的 时 候 ， 系 统 将 在 启动 时 创建 并 配置 默认 服务 。 有 些 服务 在 组 织 环境 中 
并 不 需要 ， 但 仍 在 Windows 中 被 启用 ， 来 确保 应 用 程序 或 客户 端 兼 容 或 辅助 进行 系统 管理 。 


1.4.3 ”注册 表 安 全 


注册 表 中 包含 了 Windows 系统 运行 时 所 需 的 信息 ， 例 如 ， 每 个 用 户 的 配置 文件 、 计 算 机 上 安装 的 应 用 
程序 及 其 设置 、 系 统 上 存在 哪些 硬件 以 及 正在 使 用 哪些 端口 等 。 因此， 注册 表 作为 Windows 系统 中 重要 的 
配置 文件 ， 对 系统 安全 起 着 决定 性 的 作用 。 


1. 禁止 注册 表 远 程 访 问 


Windows Server 2008 在 默认 安装 时 启用 了 允许 远程 访问 注册 表 。 需 要 注意 的 是 ， 系 统 服务 的 启动 、 
ACL 权限 的 修改 、 用 户 账户 的 创建 ， 都 可 以 在 注册 表 中 完成 ， 因 此 开启 此 功能 将 会 对 系统 安全 带 来 极 大 的 
隐患 ， 必 须 严 格 禁止 使 用 远程 注册 表 访 问 功能 。 该 安全 设置 确定 在 网 络 上 可 访问 哪些 注册 表 路 径 和 子路 径 。 

Q@ 打开 组 策略 控制 台 ， 依 次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ” 
一 “安全 选项 ”， 显 示 如 图 1-47 所 示 的 窗口 。 

在 右 侧 的 策略 窗口 中 , 双击 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 和 子路 径 ” 策略 ， 显 示 如 图 1-48 
所 示 的 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 和 子路 径 属性 ”对 话 框 。 

删除 列表 框 的 所 有 数据 ， 单 击 “ 确 定 ” 按 钮 保存 设置 。 

双击 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 ” 策 略 ， 显 示 如 图 1-49 所 示 的 “网 络 访问 : 可 远程 访 
问 的 注册 表 路 径 属性 ”对 话 框 。 

删除 文本 框 的 所 有 数据 ， 然 后 单 击 “确定 ”按钮 即 可 。 
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.| 提示 : 编辑 注册 表 不 当 可 能 会 严重 损坏 的 系统 。 在 更 改 注册 表 之 前 ， 应 备份 计算 机 上 任何 有 价值 的 数据 。 
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第 1 章 Windows Server 2008 初始 安全 


图 1-48 “网 络 访问 : 可 远程 访问 的 注册 表 图 1-49 “网 络 访问 : 可 远程 访问 的 
路 径 和 子路 径 属性 ”对 话 框 注册 表 路 径 属性 ”对 话 框 


2. 注册 表 安 全 设置 


Windows Server 2008 系统 注册 表 中 常用 的 安全 设置 如 下 。 
(D 隐藏 重要 文件 /目录 可 以 修改 注册 表 实现 完全 隐藏 
找到 如 下 注册 表 项 : 


HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows\ 
Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL 


右 击 CheckedValue， 选 择 快捷 菜单 中 的 “修改 ”命令 ， 把 数值 由 1 改 为 0。 


C31 


@ 


(2] 对 匿名 连接 的 额外 限制 

没有 显示 的 匿名 权限 就 没有 办 法 访问 ， 在 注册 表 中 找到 : 

HEEY_LOCAL MACHINE\System\CurrentControlset\Control\Lsa 

然后 修改 restrictanonymous 为 2。 

(3] 关闭 默认 的 根 目录 和 管理 共享 

去 除 Windows 安装 后 生成 的 默认 共享 。 在 注册 表 中 找到 : 

HEKEY_LOCAL MACHINE\System\CurrentControlset\Services\Lanmanserver\Parameters 
添加 DWORD 值 autosharews 为 0， 以 及 autoshareserver 为 0。 

(和 禁止 Guest 用 户 访问 日 志 

取消 来 宾 账 号 机 器 同 组 账号 访问 日 志 的 权利 。 在 注册 表 中 找到 : 

HKEY_LOCAL MACHINE\System\CurrentControlSet\Services\EventLog 

将 其 3 个 子 键 Application、Security、System 下 面 的 RestrictGuestAccess 值 改 为 1 即 可 。 
(5] 禁止 显示 上 次 登录 的 用 户 名 

防止 在 登录 界面 上 泄漏 账号 信息 。 在 注册 表 中 找到 

HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 
然后 修改 Dontdisplaylastusername 为 1 即 可 。 

(6] 禁用 文件 名 创建 

取消 Windows Server 2008 和 Windows Server 2003 为 兼容 以 前 微软 文件 名 命名 方式 带 来 的 性 能 损失 。 


在 注册 表 中 找到 : 
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HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\FileSystem 

然后 设置 Ntfsdisable8dot3namecreation 为 1 即 可 。 

(7) 禁用 无 用 的 子 系统 

取消 因为 使 用 例如 DOS、Win16、0S/2、Posix 应 用 系统 下 的 程序 子 系统 可 能 带 来 的 隐患 。 
在 注册 表 中 找到 : 

HKEY_LOCRL MACHINE\System\CurrentControlSet\Control\Session Manager\Subsystems 
然后 将 Optional 的 值 修 改 为 “0000”。 

删除 同一 子 键 下 的 0S52、posix 项 ， 同 时 找到 : 

HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\wow 

删除 其 下 的 子 键 。 

在 注册 表 中 找到 : 


HKEY LOCAL MACHINE\System\CurrentControlSet\Control\Session Manager\ environment 


然后 删除 其 下 的 0S2libpath 项 。 
在 注册 表 中 找到 : 


HKEY LOCRL MACHINE\Software\Microsoft\os/2 Subsystem for nt 


然后 删除 其 下 的 所 有 子 键 。 
(8】 不 支持 IGMP 协议 
在 注册 表 中 找到 : 


HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 


然后 新 建 DWORD 值 ， 改 IGMPLevel 值 为 0 即 可 。 
(9] 防止 ICMP 重 定向 报 文 的 攻击 
在 注册 表 中 找到 : 


HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 


然后 将 EnableICMPRedirects 值 设 为 0 即 可 。 

(10)】 修改 终端 服务 端口 

在 注册 表 中 找到 : 

HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 

然后 在 右边 的 PortNumber 键 值 下 ， 在 十 进 制 状态 下 改 成 需要 变更 的 端口 号 ， 只 要 不 与 其 他 端口 冲突 
即 可 。 

在 注册 表 中 找到 : 


HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\ 
Terminal Server\WinStations\RDP-Tcp 


方法 同上 ， 记 得 端口 号 和 上 面 改 的 一 样 就 可 以 。 
(11) 保护 系统 不 受 一 定 的 拒绝 服务 攻击 
要 防备 SYN 泛滥 攻击 ， 在 注册 表 中 找到 : 


HKEY_LOCRL MACHINE\System\CurrentControlSet\Services\Tcpip\parameters 


然后 分 别 添加 : 

和 DWORD 值 SynAttackprotect 为 2。 

和 ”Tcpmaxhalfopen 值 为 100。 

和 Tcpmaxhalfopenedretried 的 值 为 80。 


和 ”Tcpmaxportsexhausted 的 值 为 5。 
(12) 加 强 防备 拒绝 服务 攻击 
终止 半 开 放 的 TCP 连接 ， 可 在 上 面 同一 键 下 添加 Tcpmaxconnectreponseretransmissions 为 3。 
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(13] TCP 空 连接 计数 器 

可 以 防止 死 连接 消耗 资源 , 可 以 尽快 结束 死 连接 , 在 “7 的 同一 键 值 上 面 添加 DWORD 值 Keepalivetime 
为 300000， 该 计算 单位 为 毫秒 ， 即 5 分 钟 。 

(14) 不 轻易 改变 MTU 的 值 (最 大 传输 单元 ) 
防止 Windows Server 2008 和 Windows Server 2003 自动 执行 的 MTU 探索 被 恶意 用 户 利用 , 导致 系统 
采用 极 小 MTU 值 从 而 增强 资源 消耗 的 拒绝 服务 攻击 ， 可 在 同一 键 值 下 面 添加 DWORD 值 
Enablepmtudicovery 为 0。 
(15) 禁用 公路 由 
防止 恶意 用 户 利 用 非法 手段 缆 盖 正常 路 由 选择 ， 应 该 在 “7” 的 键 值 下 面 添加 DWORD 值 
DisableIPsourcerouting 为 2。 
(16] 禁用 ICMP 转向 
防止 恶意 用 户 利用 来 改变 Windows Server 2008、Windows Server 2003 或 路 由 表 以 响应 网 络 设备 发 送 
的 ICMP 重 定 向 消息 ， 应 该 在 “7” 的 键 值 下 面 修改 EnableICMPredirect 值 为 0。 
(17) 禁止 光盘 自动 启动 
防止 恶意 用 户 利用 此 手段 访问 系统 ， 在 注册 表 中 找到 : 


HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 


ct 


组 


然后 设置 Nodrivetypeautorun 为 149 。 
(18) 只 有 本 地 用 户 才 可 以 访问 软盘 
防止 恶意 用 户 利用 此 方法 访问 系统 ， 在 注册 表 中 找到 : 


HKEY_LOCRL MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 


然后 修改 allocatefloppyes 值 为 1。 

(19) 只 有 本 地 登录 的 用 户 才 能 访问 CD-ROM 

防止 恶意 用 户 利用 此 手段 访问 系统 ， 修 改 同一 键 下 的 allocatecdroms 值 为 1。 
(20) 在 关机 时 清理 虚拟 内 存 页 面 交换 文件 

防止 虚拟 内 存 页 面 交换 文件 泄漏 可 用 的 信息 ， 在 注册 表 中 找到 : 


HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\Session Manager\Memory management 


然后 修改 clearpagefileatshutdown 值 为 1。 


1.4.4 ”审核 策略 


审核 是 Windows Server 2008 系统 中 本 地 安全 策略 的 一 部 分 。 通 过 设置 审核 策略 ， 确 定 是 否 将 安全 事 
件 记录 到 计算 机 上 的 安全 日 志 中 ， 同 时 也 确定 是 否 记录 登 录 成 功 或 登录 失败 ， 或 二 者 都 记录 。 安 全 日 志 是 
事件 查看 器 的 一 部 分 。 执 行 审核 策略 前 ， 必 须 决定 要 审核 的 事件 类 别 。 为 事件 类 别 选择 的 审核 设置 将 定义 
审核 策略 。 
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|e | 提示 : 在 加 入 域 中 的 成 员 服务 器 和 工作 站 上 ， 黑 认 情况 下 未 定义 事件 类 别 的 审核 设置 。 在 域 控制 器 上 ， 
默认 情况 下 审核 关闭 。 通 过 为 特定 的 事件 类 别 定义 审核 设置 ， 可 以 创建 一 个 适合 组 织 安全 需要 的 审核 
策略 。 


1. 审核 策略 的 功能 

安全 事件 日 志 一 直 都 是 令 系 统管 理 员 头疼 的 问题 。 虽然 通过 分 析 安全 事件 可 以 从 中 发 现 许多 实用 信息 ， 
但 是 ， 由 于 数据 量 的 巨大 ， 需 要 耗费 大 量 的 时 间 和 精力 ， 很 难 快速 从 中 得 到 有 用 的 信息 。 

在 Windows Server 2008 中 ,审核 系统 有 了 很 大 的 改进 ， 管 理 员 使 用 起 来 更 加 方便 。 审 核 策 略 的 扩充 ， 
使 用 户 可 以 更 加 方便 的 选择 希望 看 到 的 事件 。 审 核 事 件 记 录 格式 和 内 容 也 有 所 变化 ， 使 得 用 户 能 够 更 容易 
在 安全 日 志 中 了 解 事件 。 另外， 有 关 事 件 子 系统 及 其 相关 工具 的 发 展 , 解决 了 以 往 很 多 操作 和 分 析 的 问题 。 

安全 访问 控制 策略 包括 3 项 基本 控制 ， 即 认证 、 授 权 和 审核 。 认 证 是 访问 控制 的 “第 一 关 ”， 负 责 验 
证 对 方 身份 的 有 效 性 ， 如 用 户 名 、 密 码 等 ， 授 权 是 确认 用 户 身份 后 ， 为 其 分 配 哪些 访问 权限 ， 避 免 由 于 越 
界 访 问 带 来 的 安全 隐患 ， 审核 则 是 记录 用 户 访问 过 程 中 执行 了 哪些 操作 ， 是 否 对 系统 安全 或 网 络 安全 构成 
威胁 ， 并 生成 相应 的 日 志 。 审 核 策略 只 能 跟踪 检查 用 户 的 操作 是 否 违规 ， 以 及 是 如 何 违规 的 ， 但 并 不 能 防 
止 违 规 事件 的 发 生 。 

通过 审核 跟踪 可 以 证 明 保护 控制 正在 运行 ， 随 时 检测 审核 跟踪 来 观察 用 户 的 活动 是 否 违规 。 当 系统 发 
生意 外 后 ， 管 理 员 首先 应 从 生成 的 日 志 中 了 解 已 发 生 的 事情 ， 在 这 种 情况 下 ， 审 核 跟踪 能 够 提供 必要 的 
证 据 。 

2. Windows 审核 的 工作 原理 


Windows 审核 系统 、 安 全 决策 组 件 和 事件 日 志 服务 配合 工作 ， 以 可 靠 的 方式 为 正在 运行 的 网 络 服务 生 
成 安全 事件 。 安 全 决策 组 件 通 常 被 称 为 安全 参考 监控 ， 当 制定 了 安全 决策 后 ， 监 视 器 就 会 通知 审核 系统 
并 将 活动 的 细节 传输 到 审核 系统 。 审 核 系 统 将 这 些 细节 按照 指定 的 格式 生成 事件 日 志 ， 确 保 数据 以 连续 形 
式 显示 ， 并 且 清除 所 有 审核 策略 不 允许 日 志 的 事件 ， 其 余 事件 被 发 送 到 事件 日 志 服务 ， 储 存 于 安全 日 志 中 。 
图 1-50 中 是 Windows 审核 子 系统 的 工作 概况 。 


1-50 “Windows 审核 子 系统 


© 注意 :Windows 审核 在 为 审核 系统 提供 事件 前 ， 会 检查 审核 策略 ， 预 防 发 生 不 必要 的 执行 障碍 。 
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Windows 审核 系统 在 LSA 进程 中 执行 ,在 Windows 进程 列表 和 Windows 核心 中 显示 为 lsass.exe .LSA 
包含 Windows 用 户 模式 组 件 ， 用 于 执行 安全 策略 和 其 他 安全 功能 ， 例 如 认证 。 有 些 组 件 (如 认证 包 ] 是 位 于 
LSA 内 部 的 ,将 事件 直接 传递 到 审核 系统 .运行 于 LSA 外 的 用 户 模式 中 的 组 件 (如 ADDS)], 以 及 使 用 Windows 
审核 APIs 的 应 用 程序 , 只 能 经 由 PRC 将 事件 传递 到 LSA。 内 核 包 含 着 一 个 普通 的 审核 界面 供 核心 组 件 使 用 。 
它 还 包含 一 个 对 象 管理 器 ， 负 责 生成 多 数 对 象 访问 事件 。 事 件 可 以 通过 内 核 事 件 跟踪 引擎 (ETW) 传 递 到 事 
件 日 志 服务 ， 也 可 以 通过 RPC 传递 。 大 多 数 生成 于 内 核 的 事件 直接 传递 到 ETW, 但 复杂 的 事件 则 需 先 传递 
到 LSA 进行 格式 化 。LSA 将 多 数 事 件 通过 ETW 传递 到 事件 日 志 , 只 有 在 部 分 审核 子 系统 失败 时 才 使 用 RPC 


提示 : 在 Windows Vista 和 Windows Server 2008 系统 中 ， 事 件 日 志 引 擎 已 经 升级 到 6.0 版 本 。 旧 的 事件 日 
志 服 务 最 大 的 有 效 日 志文 件 为 4GB( 在 x86 的 计算 机 上 会 更 小 些 ), 而 使 用 新 版 本 引擎 的 日 志文 件 可 以 超过 
一 个 PB。 旧 日 志 的 最 大 传输 速率 为 每 秒 几 千 个 事件 ， 而 新 日 志 的 传输 速率 为 每 秒 上 万 个 。 

3. 系统 审核 类 型 


(1) 审核 账户 登录 事件 

审核 账户 登录 事件 设置 确定 是 否 审核 在 这 人 台 计 算 机 用 于 验证 账户 时 ， 用 户 登 录 到 其 他 计算 机 或 者 从 其 
他 计算 机 注销 的 每 个 实例 。 当 在 域 控制 器 上 对 域 用 户 账户 进行 身份 验证 时 ， 将 产生 账户 登录 事件 。 该 事件 
记录 在 域 控制 器 的 安全 日 志 中 。 当 在 本 地 计算 机 上 对 本 地 用 户 进行 身份 验证 时 ， 将 产生 登录 事件 。 该 事件 
记录 在 本 地 安全 日 志 中 ， 不 产生 账户 注销 事件 。 

如 果 定 义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 事件 类 型 进行 审核 。 当 某 个 账 
户 的 登录 成 功 时 ， 成 功 审核 会 生成 审核 项 。 当 某 个 账户 的 登录 失败 时 ， 失 败 审核 会 生成 审核 项 。 

(2] 审核 账户 管理 

审核 账户 管理 设置 确定 是 否 审核 计算 机 上 的 每 一 个 账户 管理 事件 。 账 户 管理 事件 的 例子 包括 : 

”创建 、 更 改 或 删除 用 户 账户 或 组 。 

ms ” 重 命 名 、 禁 用 或 启用 用 户 账户 。 

”设置 或 更 改 密码 。 

如 果 定 义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 事件 类 型 进行 审核 。 任 何 账户 
管理 事件 成 功 时 ， 成 功 审核 都 会 生成 审核 项 。 任 何 账户 管理 事件 失败 时 ， 失 败 审核 都 会 生成 审核 项 。 

(3] 审核 目录 服务 访问 

审核 目录 服务 访问 设置 确定 是 否 审核 用 户 访问 那些 指定 自己 的 系统 访问 控制 列表 (SACL) 的 Active 
Directory 对 象 的 事件 。 

默认 情况 下 ， 在 “默认 域 控制 器 组 策略 对 象 (GPO] ”中 该 值 设置 为 无 审核 ， 并 且 在 该 值 没有 任何 意义 的 
工作 站 和 服务 器 中 ， 它 保持 未 定义 状态 。 

如 果 定 义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 事件 类 型 进行 审核 。 用 户 成 功 
访问 指定 了 SACL 的 Active Directory 对 象 时 , 成 功 审核 会 生成 审核 项 。 用 户 尝 试 访问 指定 了 SACL 的 Active 
Directory 对 象 失败 时 ， 失 败 审核 会 生成 审核 项 。 
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注意 : 通过 使 用 某 个 Active Directory 对 象 “ 属 性” 对话 框 中 的 “安全 ”选项 卡 ， 可 以 设置 该 对 象 的 SACL. 
该 操作 与 审核 对 象 访 问 相 同 ， 只 不 过 它 仅 应 用 于 Active Directory 对 象 而 不 是 文件 系统 和 注册 表 对 象 。 


(和 审核 登录 事件 

审核 登录 事件 设置 确定 是 否 审核 每 一 个 登录 或 注销 计算 机 的 用 户 实例 。 

在 域 控制 器 上 将 生成 域 账户 活动 的 账户 登录 事件 ， 并 在 本 地 计算 机 上 生成 本 地 账户 活动 的 账户 登录 事 
件 。 如 果 同 时 启用 账户 登录 和 账户 审核 策略 类 别 ， 那 么 使 用 域 账户 的 登录 将 生成 登录 或 注销 工作 站 或 服务 
器 的 事件 ， 而 且 将 在 域 控制 器 上 生成 一 个 账户 登录 事件 。 此 外 ， 在 用 户 登录 而 检索 登录 脚本 和 策略 时 ， 合 
用 域 账户 的 成 员 服 务 器 或 工作 站 的 交互 式 登录 将 在 域 控制 器 上 生成 登录 事件 。 

如 果 定义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 事件 类 型 进行 审核 。 登 录 成 功 
时 ， 成 功 审核 会 生成 审核 项 。 登 录 失 败 时 ， 失 败 审核 会 生成 审核 项 。 

(6] 审核 对 象 访问 

审核 对 象 访问 设置 确定 是 否 审核 用 户 访问 某 个 对 象 的 事件 ， 例 如 文件 、 文 件 夹 、 注 册 表 项 、 打 印 机 竺 
它们 都 有 自己 特定 的 系统 访问 控制 列表 (SACL)。 

如 果 定义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 该 事件 类 型 进行 审核 。 当 用 户 
成 功 访问 指定 了 合适 SACL 的 对 象 时 ， 成 功 审核 将 生成 审核 项 。 当 用 户 访问 指定 有 SACL 的 对 象 失败 时 ， 失 
败 审核 会 生成 审核 项 。 

(@ 审核 策略 更 改 

审核 策略 更 改 设置 确定 是 否 审核 用 户 权限 分 配 策略 、 审 核 策略 或 信任 策略 更 改 的 每 一 个 事件 。 

如 果 定义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 该 事件 类 型 进行 审核 。 对 用 户 
权限 分 配 策略 、 审 核 策略 或 信任 策略 所 作 更 改 成 功 时 ， 成 功 审核 会 生成 审核 项 。 对 用 户 权限 分 配 策略 、 审 
核 策略 或 信任 策略 所 作 更 改 失败 时 ， 失 败 审核 会 生成 审核 项 。 

(7] 审核 特权 使 用 

审核 特权 使 用 设置 确定 是 否 审核 用 户 实施 其 用 户 权利 的 每 一 个 实例 。 

如 果 定义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 这 种 事件 类 型 进行 审核 。 用 户 
权利 实施 成 功 时 ， 成 功 审核 会 生成 审核 项 。 用 户 权利 实施 失败 时 ， 失 败 审核 会 生成 审核 项 。 

(8】 审核 过 程 跟踪 

审核 过 程 跟踪 设置 确定 是 否 审核 事件 (例如 程序 激活 、 进 程 退 出 、 名 柄 复制 和 间接 对 象 访问 等] 的 详细 
跟踪 信息 。 

如 果 定义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 该 事件 类 型 进行 审核 。 所 跟踪 
的 过 程 成 功 时 ， 成 功 审核 会 生成 审核 项 。 所 跟踪 的 过 程 失败 时 ， 失 败 审核 会 生成 审核 项 。 

(9】 审核 系统 事件 

当 用 户 重新 启动 或 关闭 计算 机 时 或 者 对 系统 安全 或 安全 日 志 有 影响 的 事件 发 生 时 ， 安 全 设置 确定 是 否 
予以 审核 。 

如 果 定义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 该 事件 类 型 进行 审核 。 系 统 事 
件 执行 成 功 时 ， 成 功 审核 会 生成 审核 项 。 系 统 事件 执行 失败 时 ， 失 败 审核 会 生成 审核 项 。 
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任何 安全 措施 都 无 法 确保 万 无 一 失 ， 强 有 力 的 安全 
措施 可 以 增加 入 侵 难 度 ， 从 一 定 程度 上 提升 系统 安全 性 。 
通常 情况 下 ， 用 户 安装 操作 系统 后 ， 只 是 进行 简单 的 安 
全 设置 ， 便 投入 应 用 ， 其 实 这 是 非常 危险 的 。 要 想 使 服 
务 器 在 复杂 的 网 络 环境 中 平稳 运行 ， 必 需 从 各 方面 实施 
安全 加 固 ， 包 括 安装 系统 更 新 、 账 户 安全 、 访 问 权限 控 
制 和 系统 服务 安全 等 。 


全 关键 词 

安装 系统 更 新 
系统 管理 员 账 户 
磁盘 访问 权限 
系统 账户 数据 库 
系统 服务 安全 
端口 安全 

系统 漏洞 安全 


OE 


2.1 安装 系统 更 新 


配置 适当 的 系统 更 新 方式 ， 可 以 确保 在 第 一 时 间 获 取 软 件 公司 发 布 的 各 种 系统 更 新 ， 但 是 这 些 更 新 程 
序 并 非 适用 于 所 有 系统 环境 ， 安 装 更 新 时 应 注意 其 运行 环境 和 主要 功能 。 如 果 条 件 允 许 ， 建 议 大 规模 部 署 
之 前 ， 在 实验 环境 中 进行 测试 ， 以 免 在 安装 更 新 程序 后 ， 导 致 网 络 服务 或 其 他 应 用 程序 无 法 正常 运行 。 


2.1.1 补丁 安装 注意 事项 


Windows 系统 补丁 程序 都 是 由 微软 网 站 发 布 的 ， 用 于 弥补 相应 操作 系统 漏洞 或 缺陷 。 通 常情 况 下 ， 有 
手动 安装 和 自动 安装 两 种 方式 。 手 动 安装 补丁 程序 多 用 于 不 支持 自动 下 载 和 安装 更 新 内 容 的 Windows 操作 
系统 ， 或 者 不 方便 在 线 获取 更 新 内 容 的 安装 。 手 动 安装 补丁 程序 与 普通 应 用 程序 的 安装 比较 相似 。 补 丁 程 
序 可 以 通过 登录 相关 网 站 直接 下 载 ， 也 可 以 购买 含有 补丁 程序 的 安装 光盘 。 

在 安装 系统 更 新 时 ， 应 该 注意 以 下 问题 : 

”机 器 在 没有 安装 补丁 之 前 切记 不 要 联网 。 所 需 的 补丁 程序 在 其 他 计算 机 下 载 后 ， 使 用 其 移动 存储 

设备 或 者 刻录 成 光盘 ， 复 制 到 需要 安装 补丁 的 服务 器 。 

时。 某 些 补丁 程序 对 安装 顺序 有 要 求 ， 否 则 无 法 完成 安装 或 导致 安装 失败 。 

于 开始 安装 补丁 程序 前 应 首先 关闭 其 他 应 用 程序 ， 以 免 导 致 安装 失败 。 另 外 ， 有 些 补丁 程序 安装 完 

成 后 需要 重新 启动 计算 机 方 可 生效 ， 打 开 的 应 用 程序 应 注意 及 时 保存 当前 的 结果 。 

于。 获取 补丁 程序 时 应 注意 其 版 本 要 求 ,不仅 要 注意 操作 系统 的 类 型 ， 还 应 注意 英文 版 和 简体 中 文 版 、 

繁体 中 文 版 的 区 别 。 

时 ”安装 过 程 中 如 需 确认 或 更 改 安装 目录 的 ， 建 议 保持 系统 默认 设置 。 


2.1.2 ”补丁 安装 


如 果 用 户 选择 了 “计划 安装 ”方式 ， 则 安装 向 导 将 自动 下 载 并 安装 系统 更 新 ， 只 是 在 必要 时 会 提示 重 
新 启动 计算 机 。 

@@ 依次 单 击 “ 开 始 ” 一 “Windows Update”， 显 示 如 图 2-1 所 示 的 Windows Update 窗口 ， 提 示 更 
新 的 数量 和 大 小 。 

@ 单 击 “ 查 看 可 用 更 新 ”链接 ， 显 示 如 图 2-2 所 示 的 “查看 可 用 更 新 ”窗口 ， 不 需要 的 更 新 可 以 直 
接 取消 选中 其 前 面 的 复 选 框 。 如 果 不 希望 系统 再 次 提示 安装 取消 的 更 新 ， 则 右 击 该 更 新 并 选择 快 
捷 菜 单 中 的 “隐藏 ”命令 即 可 。 

@ 单 击 “ 安 装 ”按钮 ， 或 者 在 Windows Update 窗口 中 单 击 “ 安 装 更 新 ”按钮 ， 显 示 如 图 2-3 所 示 
的 窗口 ， 开 始 下 载 并 安装 指定 更 新 (与 管理 员 设 置 的 更 新 方式 有 关 )。 
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最 近 检查 更 新 8 时间: 今天 17:48 
安装 更 新 的 时 间 从 不 
Windows 已 设置 为 。 ”通知 您 下 载 并 

护 忆 更 新 仅 话 用 于 Windovs。 

是 获取 其 他 产品 的 更 新 


图 2-1 Windows Update 窗口 


选择 希望 安装 的 更 新 
可 用 更 新 总 计 : 21 个 更 新 

ES 3 99 间 
Windows Server 2008 (21) 

| 克 。 windows Server 2008 安全 更 新 程序 (KB938464) 重要 2008/9/9 
_ 厅 Windows Server 2008 安全 更 新 程序 (KB941693) 2008/4/8 
| 隐 。 windows Server 2008 安全 更 新 程序 (KB948590) 重要 2008/4/3 
区 

| 三 ”windows Server 2008 安全 更 新 程序 (KB950762) 2008/6/10 
| 三。Windows Server 2008 安全 更 新 程序 (KB950974) 重要 。 2008/8/12 
| 三。 windows Server 2008 安全 更 新 程序 (KB951698) 重要 。 2008/6/24 
| 三”windows Server 2008 安全 更 新 程序 (KB953733) 重要 。 2008/8/12 
厂 。” Windows Server 2008 更 新 程序 (KB951072) 重要 2008/8/12 
三。 Windows Server 2008 更 新 程序 (KB951978) 重要 2008/17/8 
_ 厂 ”Windows Server 2008 更 新 六 序 (KB952287) 重要 2008/8/12 
| 三” windows Sever 2008 更 新 得 订 (KB955020) 于 要 2008/7/8 
| 三 Windows Sever 2008 更 新 闻 序 (KB95530) 于 要 2008/99 
| 三。wWindows 于 间 软件 滑 除 工具 - 2008 年 9 月 (KB890830) 重要 2008/9/9 
| 三 ”用 于 Windows Server 2008 的 ActiveX Killbit 票 积 安全 更 新 程序 (KB953839) 重要。 2008/8/12 
三 ”用 于 Windows Server 2008 的 ntemet Explorer 7 黑 积 安全 更 新 程序 (KB953838) 重要 2008/8/12 

选择 总 计 ; 4 个 更 新 
ED | wm | 


图 2-2 “查看 可 用 更 新 ”窗口 


安装 完成 后 ， 显 示 如 图 2-4 所 示 的 窗口 ， 安 装 结果 中 包括 安装 成 功 或 失败 的 数量 ， 以 及 是 否 需 要 
重新 启动 计算 机 。 如 果 安 装 的 更 新 涉及 的 应 用 程序 正在 运行 ， 则 可 能 导致 安装 失败 。 
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UU 后 -地 -Wave Wan 二 天 户 = 
文件 0) 编 兽 9 豆 香 匀 。 工 具 帮助 00 
如 检查 更 新 Vindows pilate .| 
本 ki 和 
i ER 
过 可 这 的 更 新 TT 人 上 下载) 
OO i 正在 上 4 个 更 新 地 夫 9 3 且 ， 已 成 2 


| 是 多 了 其 他 产品 9 更 新 


已 安江 的 更 新 


图 2-3 正在 下 载 和 安装 


UU -i 加 
文件 0) 编辑 @) 查看 W 工具 C) 避 助 00 
© 
如 检查 更 新 Windows Uplate 
更 次 设 置 
查看 更 新 历史 记录 


这 卫队 站 下 新 
OD wii: RN 


立 间 量 亲 启动 以 宗 戒 安装 更 新 。 
:2 个 更 新 

失败 :2 个 更 新 

dd 

代码 sn2eantg 获取 履 助 

Et 无 法 更 新 系统 正在 他 用 的 重要 文件 和 肘 分 * 请 保存 所 有 打开 的 文件 ， 然 后 重新 启 i 计 


最 近 权 查 更 呆 39 间 : 今天 17:49 
En 间 。 。。 今天 19:06。 查 看 更 新 历史 记录 
通知 作 下 载 并 安装 新 的 更 新 
公关 用 于 i 


indowsy 


请 莽 阅 
已 安装 的 更 新 


图 2-4 安装 完成 


回 ” 某 些 更 新 必须 在 重新 启动 系统 后 方 可 生效 ， 此 时 ， 
可 以 单 击 “ 立 即 重新 启动 ”按钮 重启 计算 机 ， 也 可 
以 稍 后 再 重新 启动 。 系统 默认 等 待 10 分 钟 后 自动 显 en ne 
示 如 图 2-5 所 示 的 对 话 框 。 可 在 “请 在 以 下 时 间 段 | 
之 后 提醒 我 ”下 拉 列表 中 选择 等 待 的 时 间 ， 如 10 分 一 一 一 
钟 、1 小 时 、4 小 时 等 。 


2-5 Windows Update 对 话 框 
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@ 单 击 “ 推 迟 ”按钮 ， 即 可 在 指定 时 间 后 再 次 收 到 该 提示 信息 ， 根 据 实际 情况 选择 立即 重新 启动 或 
者 继续 推迟 即 可 。 


2.2 系统 管理 员 账 户 


系统 管理 员 账户 是 Windows 系统 中 权限 最 高 的 用 户 账户 , 一 旦 被 入 侵 者 破解 或 丢失 , 后 果 将 不 堪 设 想 。 
因此 ， 必 须 做 好 系统 管理 员 账 户 的 安全 保护 工作 ， 如 更 改 账户 名 称 、 设 置 密码 、 创 建 陷阱 账号 等 。 


2.2.1 更 改 Administrator 账户 名 称 


安装 Windows Server 2008 系统 后 ， 默 认 会 自动 创建 一 个 系统 管理 员 账户 ， 即 Administrator。 许 多 系 
统管 理 员 贪图 一 时 方便 , 就 直接 用 作 自 己 的 账户 , 因此 , 许多 黑客 攻击 服务 器 时 总 是 试图 破解 Administrator 
账户 的 密码 ， 如 果 此 时 密码 安全 性 不 高 ， 后 果 可 想 而 知 。 通 常情 况 下 ， 可 以 通过 更 改 管理 员 账 户 名 称 来 避 
免 此 类 攻击 ， 提 高 系统 安全 性 。 


1. 更 改 本 地 计算 机 Administrator 账户 名 


以 Administrator 账户 登录 本 地 计算 机 ,依次 单 击 “ 开 始 ”一 “管理 工具 ”一 “计算 机 管理 ”, 打开 “ 计 
算 机 管理 ”窗口 ， 展 开 “ 系 统 工具 ”一 “本 地 用 户 和 组 ”一 “用 户 ”， 右 击 Administrator 账户 并 选择 “ 重 
命名 ”, 并 输入 新 的 账户 名 称 即 可 , 如 图 2-6 所 示 。 设计 新 的 账户 名 称 即 可 , 尽量 不 要 使 用 Admin、master、 
guanliyuan 之 类 的 名 称 ， 否 则 账户 安全 性 同样 没有 任何 保障 。 


EEETE3 LI 芭 
文件 只 志 作 人 查看 mn。 帮助 00 
各 中 | 六 [mz1BIm 


图 2-6 “计算 机 管理 ”窗口 
2. 更 改 域 Administrator 账户 名 
域 中 的 所 有 用 户 账 户 默认 都 是 存放 在 域 控制 器 的 Users 容器 中 的 ，Administrator 账户 是 整个 域 的 超级 
管理 员 用 户 。 依 次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”， 打 开 如 图 2-7 所 示 
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的 “Active Directory 用 户 和 计算 机 ”窗口 ， 在 Users 容器 中 右 击 Administrator 账户 ， 并 选择 快捷 菜单 中 
的 “ 重 命名 ”命令 即 可 。 


文件 各 操作 名 二 看 MD 于 号 00 


指定 的 域 管理 员 

加 入 到 域 中 的 所 有 工作 - 
拒 中 所 有 远近 刨 器 
4 有 未 宾 

所 有 域 用 户 

这 店 组 中 的 成 员 可 以 褒 
从来 宾 访 问 计算 机 或 访 
这 个 组 中 的 隔 秀 器 可 以 ， 
此 看 中 的 成 员 星 手中 从. 


图 2-7 “Active Directory 用 户 和 计算 机 ”窗口 
输入 新 的 账户 名 并 确认 时 ， 会 显示 如 图 2-8 所 示 的 “Active Directory 域 服务 ”对 话 框 ， 建 议 更 改 之 后 
立即 注销 并 使 用 新 的 账户 名 登录 ， 以 避免 出 现 访问 冲突 。 单 击 “ 是 ”按钮 ， 关 闭 该 对 话 框 ， 稍 后 注销 当前 
用 户 账户 即 可 。 


sw | 


图 2-8 “Active Directory 域 服务 ”对 话 框 

3. 通过 组 策略 更 改 Administrator 账户 名 

无 论 是 独立 计算 机 还 是 域 控制 器 ， 都 可 以 通过 Windows 组 策略 更 改 Administrator 账户 名 称 。 如 果 是 
独立 计算 机 ， 则 可 以 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “本 地 安全 策略 ”， 打 开 “ 本 地 安全 策略 ”控制 
台 ; 依次 展开 “安全 设置 ”一 “本 地 策略 ”一 “安全 选项 ”， 在 右 侧 主 窗口 中 双击 “账户 : 重 命 名 系统 管 
理 员 账户 ”， 打 开 “ 账 户 : 重 命名 系统 管理 员 账 户 属性 ”对 话 框 ， 如 图 2-9 所 示 。 重 新 输入 新 的 账户 名 称 
即 可 。 

如 果 是 域 控制 器 ， 则 需要 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “组 策略 管理 ”， 找 到 作用 于 根 域 的 默 
认 策 略 Default Domain Policy， 右 击 并 选择 快捷 菜单 中 的 “编辑 ”， 打 开 “ 组 策略 管理 编辑 器 ”窗口 ， 依 
次 展开 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “安全 选项 ”， 双 击 右 侧 主 窗口 中 
的 “账户 。 重 命名 系统 管理 员 账 户 ”， 打 开 “ 账 户 :， 重 命名 系统 管理 员 账 户 属性 ”对 话 框 ， 系 统 默认 是 
没有 定义 该 策略 的 ， 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 在 文本 框 中 输入 新 的 名 称 即 可 ， 如 图 2-10 所 示 。 
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图 2-10 ”通过 域 安全 策略 更 改 管理 员 账户 名 


2.2.2 ”禁用 Administrator 账户 


如 果 更 改 账户 名 仍 无 法 满足 安全 需求 ， 可 以 选择 直接 将 其 禁用 ， 然 后 创建 一 个 普通 的 管理 员 账户 ， 用 
于 实现 基本 的 系统 或 者 网 络 管理 、 维 护 功能 。 如 此 一 来 ， 再 高 明 的 黑客 也 将 无 法 获取 超级 管理 员 账 户 权限 。 

在 “计算 机 管理 ”控制 台 的 “本 地 用 户 账户 和 组 ”一 “用 户 ” 窗 口中 ， 双 击 Administrator 打开 如 
图 2-11 所 示 的 “Administrator 属性 ”对 话 框 。 选 中 “账户 已 禁用 ” 复 选 框 即 可 。 如 果 是 Windows 域 控制 
器 ， 则 可 以 在 “Active Directory 用 户 和 计算 机 ”的 Users 容器 中 ， 进 行 此 项 设置 。 
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图 2-11 “Administrator 属性 ”对 话 框 


禁用 Administrator 账户 相对 于 为 其 更 名 而 言 ， 安 全 性 更 高 。 但 是 ， 当 需要 完成 某 些 特殊 管理 任务 而 用 
到 超级 管理 员 账户 时 ， 必 须 先 进入 安全 模式 ， 重 新 启用 该 账户 ， 如 进行 目录 恢复 和 还 原 等 。 


提示 : 用 户 自 定义 的 管理 员 ， 虽 然 同 样 属于 某 些 系统 管理 员 组 ， 但 却 无 法 获得 超级 管理 员 的 权限 ， 功 能 
方面 仍 有 很 大 区 别 。 


2.2.3 ”减少 管理 员 组 成 员 
尽量 减少 管理 员 组 成 员 的 数量 ， 也 是 最 大 限度 保证 网 络 安全 的 重要 措施 。 对 于 独立 计算 机 而 言 ， 可 以 


在 “计算 机 管理 ”一 “本 地 用 户 和 组 ”一 “组 ”中 , 双击 Administrators 打开 如 图 2-12 所 示 的 “Administrators 
属性 ”对 话 框 ， 选 择 “ 成 员 ” 列 表 中 想 要 删除 的 管理 员 账 户 ， 并 单 击 “ 删 除 ”按钮 即 可 。 


图 2-12 “Administrators 属性 ”对 话 框 
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如 果 是 域 控制 器 ， 则 除 减少 Administrators 组 中 的 成 员 之 外 ， 还 应 严格 控制 添加 到 DnsAdmins 组 和 
Enterprise Admins 组 中 的 成 员 账户 ， 这 些 组 同样 是 Administrators 组 中 的 成 员 。 管 理 员 账户 的 数量 越 少 ， 
密码 丢失 或 被 破解 的 可 能 性 就 越 小 ， 系 统 也 就 越 安全 。 


2.2.4 ”系统 管理 员 口 令 设置 


入 侵 者 若 想 盗 取 系统 内 的 重要 数据 信息 或 执行 某 项 管理 功能 ， 就 必须 先 获得 管理 员 权 限 ， 即 破解 管理 
员 账 户 密码 。 密 码 破解 软件 工作 机 制 主要 包括 3 种 ， 巧 妙 猜测 、 词 典 攻 击 和 自动 尝试 字符 组 合 。 从 理论 上 
讲 ， 只 要 有 足够 时 间 ， 使 用 这 些 方法 可 以 破解 任何 账户 密码 ， 破 解 一 个 弱 密码 可 能 只 需 几 秒 钟 即 可 完成 ， 
而 要 破解 一 个 安全 性 较 高 的 强 密码 则 可 能 需要 几 个 月 甚至 几 年 的 时 间 。 因 此 ， 系 统管 理 员 账户 必须 使 用 强 
密码 ， 并 且 要 经 常 更 改 密码 。 

1. 注意 事项 

在 设置 管理 员 账户 密码 时 ， 应 注意 以 下 问题 。 

(D 切 不 可 让 账号 与 密码 相同 

如 果 将 用 户 账号 与 密码 设置 为 相同 ， 许 多 系统 扫描 工具 默认 将 账户 和 密码 作为 相同 的 设置 扫描 系统 
无 疑 会 省 去 攻击 者 的 很 多 力气 。 

(2)】 切 不 可 使 用 自己 的 姓名 

使 用 自己 的 姓 或 名 、 甚 至 是 姓名 作为 密码 ， 实 在 是 不 堪 一 击 ， 对 于 本 单位 和 熟悉 本 单位 的 人 来 讲 ， 姓 
名 无 疑 是 攻击 的 首选 ， 因 为 这 儿 乎 谁 都 能 猜 得 到 。 另 外 ， 在 许多 黑客 编写 的 字典 中 ， 往 往 将 百 家 姓 一 一 列 
出 ， 并 放 在 字典 的 前 列 。 

(3】 切 不 可 使 用 英文 词组 

些 常用 或 别致 的 英文 单词 往往 是 用 户 设置 密码 时 的 最 爱 ， 在 他 们 看 来 ， 这 类 密码 既 便 于 记忆 ， 又 由 

显 自己 的 个 性 。 但 事实 上 ， 那 些 绝顶 用 明 的 黑客 们 也 早已 猜 到 并 详细 地 将 其 编 和 字典， 因此， 英文 词组 绝 
不 可 用 。 

(和) 切 不 可 使 用 特定 意义 的 日 期 

以 具有 特定 意义 的 日 期 作为 密码 是 任何 人 都 十 分 喜爱 的 ， 这 一 类 日 期 通常 有 自己 生日 、 父 母 生日 、 儿 
女生 日 、 朋 友 生 日 、 重 大 节日 、 个 人 纪念 日 等 。 不 用 说 熟悉 的 人 可 以 猜 得 到 ， 即 使 是 陋 生 人 也 可 以 通过 穷 
举 的 方式 而 得 手 。 

(5) 切 不 可 使 用 简单 的 密码 

越 是 字符 数 少 则 越 是 简单 的 密码 ， 在 破解 时 所 用 的 时 间 也 就 越 短 。 一 个 以 穷 举 软件 每 秒 钟 可 以 重 试 10 
万 次 之 多 ， 字 数 越 少 ， 字 符 越 简单 化 ， 排 列 组 合 的 结果 也 就 越 少 ， 也 就 越 容易 被 攻破 。 

2. 安全 密码 原则 

车 欲 保证 账户 密码 的 安全 ， 应 当 遵循 以 下 规则 : 

”用户 密码 应 包含 英文 字母 的 大 小 写 、 数 字 、 可 打印 字符 ， 甚 至 是 非 打印 字符 ， 将 这 些 符号 排列 组 

合 使 用 ， 以 期 达到 最 好 的 保密 效果 。 
”用户 密码 不 要 太 规则 ， 不 要 将 用 户 姓名 、 生 日 和 电话 号 码 作为 密码 。 不 要 用 常用 单词 作为 密码 。 
”根据 黑客 软件 的 工作 原理 ， 参 照 密码 破译 的 难 易 程 度 ， 以 破解 需要 的 时 间 为 排序 指标 ， 密 码 长 度 
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设置 时 应 遵循 7 位 或 14 位 的 整数 倍 原则 。 

在 通过 网 络 验证 密码 过 程 中 ， 不 得 以 明文 方式 传输 ， 以 免 被 监听 截取 。 

密码 不 得 以 明文 方式 存放 在 系统 中 ， 确 保密 码 以 加 密 的 形式 写 在 硬盘 上 并 且 包 含 密码 的 文件 是 只 
读 的 。 加 密 的 方法 很 多 ， 如 基于 单 向 函数 的 密码 加 密 ， 基 于 测试 模式 的 密码 加 密 ， 基 于 公 钥 加 密 
方案 的 密码 加 密 ， 基 于 平方 剩余 的 密码 加 密 ， 基 于 多 项 式 共享 的 密码 加 密 ， 基 于 数字 签名 方案 的 
密码 加 密 等 。 经 过 上 述 方法 加 密 的 密码 ， 即 使 是 系统 管理 员 也 难以 得 到 。 

密码 应 定期 修改 ， 应 避免 重复 使 用 旧 密 码 ， 应 采用 多 套 密码 的 命名 规则 。 

建立 账号 锁定 机 制 。 一 旦 同一 账号 密码 校 验 错误 若干 次 即 断 开 连 接 并 锁定 该 账号 ， 经 过 一 段 时 间 
才 解 锁 。 

由 网 络 管理 员 设置 一 次 性 密码 机 制 ， 用 户 在 下 次 登录 时 必须 更 换 新 的 密码 。 


3. 系统 账户 密码 要 求 


在 Windows Server 2008 系统 中 ， 安 装 系统 的 同时 就 要 求 管理 员 必 须 指 定 符合 要 求 的 安全 密码 ， 大 大 
提高 了 用 户 账户 和 系统 的 安全 性 。 通 常情 况 下 ，Windows Server 2008 网 络 中 ， 对 用 户 账户 密码 要 求 如 下 : 


不 包含 全 部 或 部 分 的 用 户 账 户 名 。 

长 度 至 少 为 6 个 字符 。 

包含 来 自 以 下 4 个 类 别 中 的 3 个 的 字符 : 
。 大写 英文 字母 (从 A 一 刀 。 

。 ”小写 英文 字母 (从 a 一 习 。 

。 10 个 基本 数字 (从 0 一 9)。 

。 非 字 母 字 符 (例如 ，!、$、#、9%)。 


对 于 未 安装 Active Directory 服务 Windows Server 2003 计算 机 或 修改 了 Windows Server 2003/2008 
默认 组 策略 的 计算 机 ， 其 用 户 账户 密码 可 以 随意 设置 。 
强 密码 具有 以 下 特征 : 


长 度 至 少 有 7 个 字符 。 

不 包含 用 户 的 生日 、 电 话 、 用 户 名 、 真 实 姓名 或 公司 名 等 。 

不 包含 完整 的 字典 词汇 。 

包含 全 部 下 列 4 组 字符 类 型 。 大 写字 母 (A,B,C.]、 小 写字 母 (ab,c.]、 数 字 (从 0 一 9)、 非 字母 字符 
(键盘 上 所 有 未 定义 为 字母 和 数字 的 字符 ， 如 ` 一 1!@#$%^&*()_+-={}|[]\:";'<>?,/)。 


除 此 之 外 ， 管 理 员 账户 的 密码 应 当 定期 修改 ， 尤 其 是 当 发 现 有 不 良 攻击 时 ， 更 应 及 时 修改 复杂 密码 ， 
以 避免 被 破解 。 为 避免 密码 因 过 于 复杂 而 忘记 ， 可 用 笔记 录 下 来 ， 并 保存 在 安全 的 地 方 ， 或 随身 携带 避免 
丢失 。 其 实 ， 最 安全 的 方法 就 是 不 使 用 常规 密码 ， 而 采用 电子 密 钥 等 一 些 几乎 无 法 破解 的 登录 方式 ， 确 保 
系统 安全 性 。 


2.2.5 创建 陷阱 账户 


所 谓 陷 阱 账户 就 是 名 称 与 默认 管理 员 账 户 名 称 (Administrator) 类 似 或 完全 相同 ， 而 权限 却 极 低 的 用 户 
账户 。 这 种 方法 通常 和 “更 改 Administrator 账户 名 称 ”配合 使 用 ， 即 将 系统 管理 员 账 户 更 名 后 ， 青 创建 一 
个 名 称 为 Administrator 的 陷阱 账户 。 
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@@ ”创建 一 个 名 称 为 Administrator 的 用 户 账户 (如 果 原 有 管理 员 账 户 没 有 被 更 名 则 可 以 创建 一 个 名 称 
类 似 的 账户 ， 如 Admin 等 )， 并 输入 一 个 复杂 程度 极 高 的 安全 密码 ， 选 中 “密码 永 不 过 期 ” 复 选 
框 ， 如 图 2-13 所 示 。 

加 单 击 “ 创 建 ”按钮 即 可 创建 该 账户 。 

@ 将 其 从 Users 组 中 删除 ， 这 样 就 可 以 避免 其 集成 来 自 Users 组 的 用 户 权限 ， 如 图 2-14 所 示 。 选 择 
陷阱 账户 Administrator 并 单 击 “删除 ”按钮 ， 将 其 删除 。 最 后 单 击 “ 确 定 ” 按 钮 保存 。 


RT MTPDETTYVWnthenticatea Users G-1-5-11) 
Br Amoarrmnmrgucrnz 6-1-5-4) 


图 2-13 ”创建 陷阱 账户 图 2-14 删除 Users 组 中 的 陷阱 账户 


@ 双击 陷阱 账户 ， 打 开 用 户 账户 属性 对 话 框 ， 将 其 各 种 权限 设置 为 最 低 。 例 如 ， 在 “ 拨 入 ”选项 卡 
中 ，“ 网 络 访问 权限 ”选项 区 域 中 选择 “拒绝 访问 ” 单 选 按钮 ， 如 图 2-15 所 示 。 


图 2-15 ”限制 陷阱 账户 的 权限 
回 单 击 “ 确 定 ”按钮 保存 设置 。 
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© 注意 : 除 此 之 外 ， 还 可 以 在 所 有 磁盘 分 区 的 NTFS 权限 列表 中 一 一 删除 陷 阶 账户 的 各 种 权限 。 总 之 ， 使 
其 不 具备 任何 操作 权限 ， 即 使 被 盗用 也 无 法 进行 任何 破坏 操作 。 


2.3 磁盘 访问 权限 


权限 有 高 低 之 分 , 具备 高 权限 的 用 户 可 以 访问 、 修 改 低 权限 用 户 的 文件 夹 和 文件 。 除 了 Administrators 
之 外 ， 其 他 组 的 用 户 不 能 访问 NTFS 卷 上 的 其 他 用 户 资料 。 除 非 获 得 了 显 式 授权 ， 具备 低 权限 的 用 户 无 法 
访问 、 修 改 具 备 高 权限 用 户 的 文件 夹 和 文件 。 


2.3.1 权限 范围 


Windows Server 2008 操作 系统 对 NTFS 卷 及 其 包含 的 目录 或 者 文件 提供 了 权限 设置 ， 分 别 是 完全 控 
制 、 修 改 、 读 取 和 运行 、 列 出 文件 夹 目录 、 读 取 、 写 入 和 特殊 的 权限 。 下 面 简要 介绍 这 7 种 权限 的 控制 
范围 。 

”完全 控制 : 拥有 不 受 限制 的 完全 访问 。 地 位 就 像 Administrators 在 所 有 组 中 的 地 位 一 样 。 选中“ 完 

全 控制 ” 复 选 框 ， 其 他 的 5 项 属性 (修改 、 读 取 和 运行 、 列 出 文件 夹 目录 、 读 取 、 写 入 ) 将 自动 被 
选中 。 

里 修改: 选中 了 “修改 ” 复 选 框 ， 其 他 的 4 项 属性 ( 读 取 和 运行 、 列 出 文件 夹 目 录 、 读 取 、 写 入 ) 将 
自动 被 选中 。 如 果 4 项 属性 账户 的 任何 一 项 没有 被 选中 ，“ 修 改 ” 条 件 将 不 再 成 立 。 

里 读 取 和 运行 : 允许 读 取 和 运行 卷 、 目 录 或 者 文件 下 的 任何 文件 “ 列 出 文件 夹 目录 ”和 “ 读 取 ” 
是 “ 读 取 和 运行 ”的 必要 条 件 。 

时“ 列 出 文件 夹 目录 : 只 能 浏览 卷 、 目 录 或 者 文件 下 的 子 目 录 ， 不 能 读 取 ， 也 不 能 运行 (NTFS 卷 上 的 
文件 权限 范围 中 不 包含 此 项 ] 。 

里” 读 取 : 能 够 读 取 卷 、 目 录 或 者 文件 下 的 数据 。 

和 ” 写 入 : 可 以 向 卷 、 目 录 或 者 文件 下 写 入 数据 。 

里 “特殊 的 权限 : 对 以 上 的 6 种 权限 进行 了 细 分 。 读 者 可 以 
根据 需要 对 “特别 的 权限 ”进行 深入 的 设置 。 

Windows Server 2008 操作 系统 安装 完成 后 ， 对 系统 磁盘 C 

的 权限 默认 设置 如 图 2-16 所 示 。 

建议 对 默认 系统 磁盘 权限 设置 进行 如 下 修改 : 

”系统 盘 及 所 有 磁盘 只 赋予 Administrators 组 和 SYSTEM 
组 的 完全 控制 权限 。 

于 “系统 盘 ^\ 用 户 " 目 录 只 赋予 Administrators 组 和 SYSTEM 
组 的 完全 控制 权限 。 

@ 系统 盘 \Windows\System32\cacls.exe 、 cmd.exe 、 
net.exe 、ftp.exe 、tftp.exe 、telnetexe 、netstat.exe 、 
regedit.exe、at.exe、attrib.exe、format.com、del 文件 图 2-16 系统 磁盘 的 默认 设置 
只 给 Administrators 和 SYSTEM 的 完全 控制 权限 ， 将 \System32\cmd.exe、format.com、ftp.exe 
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转移 到 其 他 目录 或 更 名 。 
里 “用户 账户 对 应 文件 夹 中 的 文件 和 文件 夹 仅 赋予 所 属 用 户 和 Administrators 完全 控制 权限 。 


2.3.2 ”设置 磁盘 访问 权限 


默认 情况 下 ， 安 装 完成 Windows Server 2008 后 ， 系 统 自动 赋予 某 些 用 户 账户 和 组 部 分 权限 。 为 了 确 
保 系 统 安全 ， 建 议 系统 管理 员 对 默认 的 磁盘 权限 进行 调整 ， 仅 授予 Administrators 和 SYSTEM 才 可 以 访问 
的 权限 即 可 。 

@ 打开 “我 的 计算 机 ”窗口 ， 显 示 当 前 系统 安装 的 所 有 系统 磁盘 。 右 击 “ 本 地 磁盘 (C] ”图标 ， 在 弹 

出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 本 地 磁盘 (C3] 属 性 ”对 话 框 。 切 换 到 “安全 ”选项 卡 ， 选 
择 相应 的 “组 或 用 户 名 ”， 单 击 “ 编 辑 ”按钮 ， 即 可 编辑 希望 赋予 权限 的 用 户 或 组 ， 如 图 2-17 所 示 。 


ESIODTIEEES x 
常规 | 工具 | 硬件 | 共享 
声 全 过 于 本 。 |。 以前 的 版 本 | 本 


图 2-17 “安全 ”选项 卡 


回 ”选中 需要 删除 的 权限 ， 如 Users， 单 击 “ 删 除 ” 按 钮 ， 删 除 Users 访问 权限 。 

图 单 击 “ 确 定 ” 按 钮 ， 完 成 权限 访问 的 设置 。 

这 样 系统 磁盘 C 只 有 SYSTEM 和 Administrators 的 用 户 才 具 备 访问 的 权限 , 可 以 有 效 地 防止 非 授 权 用 
户 的 访问 。 


2.3.3 ”查看 磁盘 权限 


微软 公司 提供 了 查看 磁盘 文件 或 者 文件 夹 当 前 权限 的 图 形 化 工具 , 名 称 为 AccessEnum, 提供 的 下 载 地 

址 为 http://download.sysinternals.com/Files/AccessEnum.zip, 利用 AccessEnum 可 全 面 了 解 文件 系统 和 注 
册 表 安全 设置 ， 它 是 网 络 管理 员 查 看 安全 权限 的 理想 工具 。 

Q@ 下 载 完成 并 解压 缩 后 ， 直 接 执行 AccessEnum.exe 文件 ， 即 可 启动 程序 。 单 击 Directory 按钮 ， 显 

示 “ 浏 览 文件 夹 ”对 话 框 。 在 对 话 框 中 选择 需要 查看 的 目标 文件 夹 ， 此 处 以 C 盘 为 例 ， 单 击 “ 确 

定 ” 按 钮 ， 返 回 到 运行 窗口 。 继 续 单 击 Scan 按钮 ， 即 可 开始 扫描 ， 完 成 后 显示 如 图 2-18 所 示 的 


| 


Ow 


结果 。 

@ ”检测 的 结果 以 列表 框 的 方式 显示 ， 分 为 Path、Read、Write、Deny 这 4 个 数据 列 。 

mm ”Path: 文件 夹 的 路 径 。 

”Read: 具备 读 权限 的 用 户 或 者 组 。 

里。 Write: 具备 写 权 限 的 用 户 或 者 组 。 

”Deny: 具备 拒绝 权限 的 用 户 或 者 组 。 

@ 在 扫描 结果 窗口 中 ,双击 对 象 名 称 即 可 打开 其 属性 对 话 框 ， 切 换 至 如 图 2-19 所 示 的 “安全 ”选项 
卡 即 可 查看 详细 权限 设置 ， 此 处 以 C:\ 目 录 为 例 。 


Er d 
下 pmaor | 
Feary 
Fah Read 呈 
CSRecyde Bn Adminisrators, Users .Admnistrators, Users 
DC\SRecyde Bn\S-1.521.447776914.2829... Adminisrators Admnistrators 
国 cvauommcba Adminisrators, Users Administrators 
Dopo Adnresralos NT S mM 
Caboomg Admirisrators. NT S.. NT SERVICE\Tuste. 
国 C\eonig ys Admirisrators, Lers Administrators 
CADocuments and Setings Everyore Mnristrators Ereyone 
| C\Documents and SetingsY 拒绝 访 可 。 
Chiberl ys 307 洲 
Chpageflesys m 7 
口 cvertom Admirisrators. Pafor 。 Mministrators, Pedor 
Cc\PefLogs Admn Admnisrators mnistrators 
DCProgron Fics Mdminissators, NTS 。 dministretors, NTS 
DC\program Fles\Common Ries\SpeechEn.. Admirisrators. NT S 。 NT SERVICEVTuae 
加 Cprogram Files\Wndows NT 附件 Evenore Mearns Eeyore 
口 CNPmgran Fles\Windows NT 附件 拒绝 访 可 。 
CProganDats Admrisrators, Users Mminietrators. Users 
DC\progranData Vieplcaton Data Eveyore Amnietrators Ereryone 
口 CNPmoganDataVpplcation DataV 拒绝 访 相 。 
| C\ProgranData\Desktop Eveyone Administrators Everyone | 
== 
Scan Eo Sve 
图 2-18 扫描 结果 图 2-19 “安全 ”选项 卡 
图 在 “组 或 用 户 名 ”列表 框 中 ， 添 加 或 者 删除 需要 赋予 权限 的 用 户 或 者 组 ， 单 击 “ 确 定 ”按钮 ， 完 
成 权限 的 设置 。 


2.4 系统 账户 数据 库 


简单 地 讲 ， 系 统 账户 数据 库 就 是 Windows Server 2008 系统 中 ， 用 于 存储 用 户 账户 信息 的 文件 ， 包 括 
账户 名 和 密码 等 信息 。 默 认 情 况 下 ， 系 统 已 经 自动 对 该 文件 进行 加 密 ， 普 通 方法 无 法 看 到 其 真实 内 容 ， 但 
使 用 一 些 工具 软件 就 可 以 轻易 查看 。 管 理 员 可 以 借助 系统 提供 的 Syskey 对 文件 进行 二 次 加 密 ， 这 样 更 能 保 
证 系统 的 安全 ， 同 时 它 还 能 设置 启动 密码 ， 这 个 密码 先 于 用 户 密码 之 前 ， 因 此 起 到 双重 保护 的 作用 。 


2.4.1 加 密 系统 账户 数据 库 

默认 情况 下 ，Windows Server 2003/2008 系统 中 所 有 用 户 账户 的 登录 信息 ， 全 部 保存 在 
%systemroot%\system32\config 目录 下 的 SAM 文件 中 ， 当 然 Administrator 账户 也 不 例外 ， 这 个 SAM 文 
件 就 是 Windows 的 系统 账号 数据 库 。 做 好 该 文件 的 安全 保护 工作 ， 也 就 间接 保护 了 管理 员 账户 的 安全 , 通 
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常情 况 下 可 以 通过 加 密 方式 实现 。Syskey 是 Windows 系统 内 置 的 账户 数据 库 加 密 专用 工具 ， 加 密 之 后 ， 
即使 入 侵 者 窃取 了 被 加 密 的 SAM 文件 ， 也 无 法 获取 其 中 的 用 户 名 和 密码 信息 。 
Q@ 单 击 “开始 ”按钮 ， 在 “开始 ”菜单 的 “开始 搜索 ”文本 框 中 输入 “syskey” 并 按 Enter 键 ， 打 
开 如 图 2-20 所 示 的 “保证 Windows 账户 数据 库 的 安全 ”对 话 框 。 系 统 默认 已 经 选择 “启用 加 密 ” 
单 选 按钮 ， 即 始终 执行 对 SAM 文件 的 加 密 。 直 接 单 击 “ 确 定 ” 按 钮 ， 将 对 SAM 文件 进行 二 次 加 密 。 
回 单 击 “ 更 新 ” 按钮， 打开 如 图 2-21 所 示 的 “启动 密 钥 ”对 话 框 ， 系 统 默 认 选择 “系统 产生 的 密码 ” 
单 选 按 钮 。 如 果 希 望 需要 密码 才能 启动 Windows， 则 可 以 选择 “密码 启动 ” 单 选 按钮 ， 并 设置 一 
个 安全 性 较 高 的 密码 ， 至 少 12 个 字符 ， 最 多 可 以 为 128 个 字符 。 


图 2-20 “保证 Windows 账户 数据 库 的 安全 ”对 话 框 图 2-21 “启动 密 钥 ”对 话 框 


图 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 2-22 所 示 的 “成 功 ”对 话 框 。 

图 单 击 “ 确 定 ”按钮 ， 保 存 设 置 。 

通常 情况 下 ， 系 统 产生 的 密码 安全 性 要 高 于 人 工 输入 的 密码 ， 用 户 也 可 以 依次 选择 “系统 产生 的 密 公 ” 
一 “在 软盘 上 保存 启动 密 钥 ” 单 选 按钮 ， 打 开 如 图 2-23 所 示 的 “保存 启动 密 钥 ”对 话 框 。 将 已 格式 化 好 的 
空白 软盘 插入 软驱 并 单 击 “ 确 定 ”按钮 ， 系 统 即 可 生成 安全 密码 ， 并 保存 到 软盘 中 。 完 成 后 提示 如 图 2-24 
所 示 的 对 话 框 ， 启 动 系统 时 将 提示 插入 该 软盘 。 软 盘 中 的 密码 文件 默认 名 称 为 StartKey.Key。 


图 2-22 “成 功 ”对 话 框 图 2-23 “保存 启动 密 钥 ” 对 话 框 


如 果 将 启动 密码 保存 至 软盘 ， 则 重新 启动 计算 机 时 将 显示 如 图 2-25 所 示 的 “启动 密 钥 盘 ”对 话 框 ， 提 
示 插 入 保存 启动 密码 的 软盘 。 
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图 2-24 创建 成 功 图 2-25 “启动 密 钥 盘 ”对 话 框 


注意 : 账户 数据 库 的 加 密 操 作 是 不 可 北 的 ， 即 一 旦 启用 将 无 法 停止 。 但 是 如 果 不 希 望 每 次 都 要 输入 启动 
密码 或 准备 启动 密码 软盘 ， 可 以 直接 在 “启动 密码 ”对 话 框 中 ， 依 次 选择 “系统 产生 的 密码 ”和 “在 本 
地 机 上 保存 启动 密 铀 ” 单 选 按钮 ， 将 其 恢复 为 默认 状态 即 可 。 该 选项 是 将 保存 一 个 密码 作为 操作 系统 的 
一 部 分 ， 在 系统 开始 时 不 需要 用 户 进行 任何 交互 操作 ， 既 安全 又 方便 。 


2.4.2 ”删除 系统 账户 数据 库 


删除 系统 账户 数据 库 是 针对 SAM 文件 的 备份 而 言 的 ， 该 操作 仅 适 用 于 Windows Server 2003， 在 
Windows Server 2008 中 并 不 适用 。 按 照 默认 方式 安装 Windows Server 2003 后 ， 将 自动 在 
%systemroot%\repair\ 目 录 下 保存 一 份 SAM 备份 ， 如 图 2-26 所 示 。 为 防止 原来 密码 的 泄漏 ， 需 要 删除 该 
备份 文件 。 


本 
六 日。 编 和 (查看 (0 履 二 A 工具 (D 条 动 H) | 才 | 


2-26 ”账号 数据 库 的 备份 


.| 提示 :使 用 Syskey 加 密 后 的 密码 无 法 使 用 逆反 操作 恢复 账号 的 密码 ， 备 份 文件 将 自动 失效 。 


2.4.3 ”备份 和 恢复 账户 信息 
credwiz 是 Windows Vista 和 Windows Server 2008 系统 中 新 增 的 功能 之 一 , 可 以 帮助 管理 员 备 份 和 恢 
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复 所 有 用 户 账户 信息 。 通 常情 况 下 ，Windows Server 2008 服务 器 上 保存 着 所 有 客户 端的 用 户 账 户 信息 ， 
如 果 再 使 用 手工 方法 重新 录入 每 一 个 用 户 账户 


一 旦 直到 系统 故障 现象 ， 这 些 信息 很 可 能 会 被 破坏 或 丢失 。 


信息 ， 不 仅 工作 量 大 ， 而 且 容 易 出 错 。 


Q@ 单 击 “ 开 始 ”按钮 ， 在 “开始 搜索 ”文本 框 中 ， 输 入 “credwi 
所 示 的 “存储 的 用 户 名 和 密码 ”对 话 框 ， 选 择 “ 备 份 存储 的 用 


z” 并 按 Enter 键 ， 显 示 如 图 2-27 
户 名 和 密码 ” 单 选 按钮 。 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-28 所 示 的 “你 想 在 什么 位 置 备份 存储 的 登录 凭据 ”界面 ， 单 击 
“浏览 ”按钮 ， 选 择 用 于 存储 备份 的 目录 ， 建 议 保存 在 软盘 或 移动 磁盘 上 ， 并 妥善 保管 ， 避 免 存 


储 在 本 地 计算 机 中 。 
MMAS HED 了 大 的 用 户 名 和 可 
备份 或 还 原 存储 的 用 户 名 和 密码 您 想 在 什么 位 置 备 份 存 站 的 登录 托 据 ? 
"ea az i 
NW: ir 
个 还 原 存储 的 用 户 名 和 密码 


所 括 人 在 


图 2-27 “存储 的 用 户 名 和 密码 ”对 话 框 图 2-28 


下 -- 步 中 了 和 消 


“你 想 在 什么 位 置 备 份 存储 的 登录 凭据 ”界面 


@ 单 击 “下 一 步 ”按钮 ， 显 示 如 图 2-29 所 示 的 “ 按 CTRL+ALT+DELETE 继续 在 安全 桌面 上 备份 ” 


界面 。 


按 CTRLHALTHDELETE 继续 在 安全 桌面 上 备份 。 


2-29 “ 按 CTRL+ALT+DELETE 继续 在 安全 桌面 上 备份 ”界面 
@ 根据 提示 信息 ， 按 Ctrl+Alt+Delete 组 合 键 ， 显 示 如 图 2-30 所 示 的 “使 


密码 保护 备份 文件 ” 界 


| 
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面 , 在 “密码 ”和 “确认 密码 ”文本 框 中 , 输入 欲 使 用 的 密码 即 可 。 该 密码 必须 符合 Windows Server 
2008 系统 的 安全 密码 复杂 性 要 求 。 
回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-31 所 示 的 “备份 成 功 ”界面 。 最 后 ， 单 击 “ 完 成 ”按钮 ， 关 闭 
向 导 即 可 。 


3 


存储 的 用 户 名 和 室 妈 


图 2-30 “使 用 密码 保护 备份 文件 ”界面 图 2-31 “备份 成 功 ”界面 


完成 备份 操作 后 ， 存 储 在 Windows Server 2008 系统 中 的 所 有 用 户 访问 账号 信息 ， 都 会 被 备份 保存 到 
指定 位 置 处 的 crd 文件 中 。 当 Windows Server 2008 服务 器 系统 出 现 故 障 导致 用 户 信息 丢失 时 ， 只 需 再 次 
使 用 该 命令 的 “还 原 存储 的 用 户 名 和 密码 ”功能 ， 还 原 用 户 账户 信息 即 可 ， 需 要 注意 的 是 ， 还 原 过 程 中 需 
要 提供 备份 时 设置 的 加 密 密 码 。 还 原 过 程 非常 简单 ， 这 里 不 再 详细 介绍 。 


2.5 系统 服务 安全 


系统 服务 对 于 服务 器 系统 的 重要 性 不 言 而 喻 ， 但 是 对 于 系统 安全 的 意义 也 是 非常 重要 的 。 所 有 系统 应 用 
都 依赖 于 不 同 的 服务 ， 通 过 控制 系统 服务 的 状态 ， 可 以 限制 相应 功能 的 开启 或 关闭 ， 从 而 确保 系统 的 安全 。 


2.5.1 常见 服务 攻击 类 型 


由 于 Windows 有 很 多 默认 服务 在 Windows 启动 时 自动 启动 ， 入 侵 者 经 常 以 这 些 服务 为 跳板 对 系统 进 
行 攻击 ， 例 如 冲击 波 、 震 荡 波 等 。 常 见 的 Windows 服务 攻击 方式 包括 如 下 几 种 。 


1. 缓冲 区 溢出 


缓冲 区 溢出 是 指 当 计算 机 向 缓冲 区 内 填充 数据 位 数 时 ， 超 过 了 缓冲 区 本 身 的 容量 ， 溢 出 的 数据 将 履 盖 
原 有 合法 数据 。 通 常情 况 下 ， 应 用 程序 本 身 会 自动 检查 数据 长 度 ， 不 允许 输入 超过 缓冲 区 长 度 的 字符 ， 但 
是 绝 大 多 数 程序 都 会 假设 数据 长 度 与 所 分 配 的 储存 空间 是 完全 匹配 的 ， 这 就 为 缓冲 区 溢出 埋 下 隐患 。 操 作 
系统 所 使 用 的 缓冲 区 又 被 称 为 堆栈 ， 各 个 进程 的 指令 会 被 临时 储存 在 堆栈 中 ， 因 此 ， 堆 栈 也 会 出 现 缓冲 区 
溢出 。 
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2. 拒绝 服务 攻击 


拒绝 服务 (DoS] 攻 击 就 是 入 侵 者 使 目标 主机 停止 提供 服务 或 资源 访问 ， 包括 磁盘 空间 、 内 存 、 进 程 甚至 
网 络 带宽 ， 从 而 阻止 正常 用 户 的 访问 。 通 常情 况 下 ， 普 通用 户 攻 击 很 少 单独 使 用 DoS 攻击 破坏 服务 器 ， 而 
只 是 将 此 类 攻击 作为 入 侵 的 一 部 分 。 例 如 ， 绕 过 入 侵 检测 系统 时 ， 通 常用 大 量 的 攻击 触发 检测 系统 ， 导 致 
入 侵 检测 系统 日 志 过 多 或 者 反应 迟钝 ， 这 样 ， 入 侵 者 就 可 以 在 潮水 般 的 攻击 中 混 过 入 侵 检 测 系统 。 


3. 远程 登录 访问 

许多 基于 Windows 系统 的 服务 都 会 提供 额外 登录 点 ， 例 如 FTP、 远 程 桌 面 、 远 程 终端 等 ， 入 侵 者 通常 
会 通过 反复 尝试 用 户 名 和 密码 的 方式 ， 建 立 到 服务 器 的 连接 ， 进 而 达到 入 侵 的 目的 。 如 果 没有 对 安全 日 志 
进行 监视 ， 入 侵 过 程 就 很 难 被 发 现 。 

4. 窃听 

在 常规 网 络 应 用 中 ， 许 多 服务 的 用 户 账户 信息 都 是 以 明文 方式 传输 的 ， 如 SNMP、Telnet、FTP 等 ， 而 
一 旦 这 些 信息 被 入 侵 者 截获 ， 重 要 的 用 户 账户 登录 信息 就 可 能 被 窃取 。 不 仅 如 此 ， 一 些 使 用 密 文 传输 的 服 
务 ， 也 可 能 受到 此 类 攻击 ， 例 如 RDP， 即 使 通过 加 密 ， 新 会 话 也 会 被 截获 而 传输 给 远程 入 侵 者 。 窃 听 也 可 
以 用 于 捕获 登录 凭证 之 外 的 机 密 信 息 和 个 人 信息 。 

5. 密码 泄露 

如 果 某 入 侵 者 拥有 系统 访问 权限 (如 管理 员 或 本 地 系统 }， 就 会 用 各 种 方法 和 工具 在 明文 中 恢复 登录 账 
户 凭据 。 如 果 将 该 凭据 应 用 于 其 他 的 计算 机 ， 或 应 用 于 整个 Windows 域 中 ， 就 会 引起 其 他 资源 的 泄露 。 

6. 配置 错误 

不 合理 的 系统 服务 配置 方式 ， 也 可 能 导致 系统 入 侵 事 件 的 发 生 。 例 如 ， 用 户 安装 IIS 或 FTP 服务 ， 却 
使 用 简单 的 密码 。 


2.5.2 ”服务 账户 


服务 仅 在 登录 到 某 一 账户 的 情况 下 才能 访问 操作 系统 中 的 资源 和 对 象 。 大 多 数 的 服务 都 不 更 改 默认 的 
登录 账户 ， 更 改 默认 账户 可 能 导致 服务 失败 。 如 果 选 定 账户 没有 登录 计算 机 服务 的 权限 ，Microsoft 管理 控 
制 台 (MMC) 的 服务 管理 单元 将 自动 为 该 账户 授予 登录 服务 的 用 户 权限 ， 但 并 不 一 定 会 启动 服务 。 


1. 本 地 系统 账户 


本 地 系统 账户 功能 强大 ， 它 可 对 本 地 系统 进行 完全 访问 ， 并 为 网 络 中 的 计算 机 提供 服务 。 如 果 某 服务 
登录 到 域 控制 器 使 用 的 “本 地 系统 ”账户 ， 则 该 服务 可 访问 整个 域 。 有 些 服务 的 默认 配置 使 用 的 是 “本 地 
系统 ”账户 ， 则 不 需要 更 改 默认 服务 设置 。 本 地 系统 账户 名 称 是 LocalSystem， 没 有 密码 设置 。 


2. 本 地 服务 账户 


本 地 服务 账户 是 一 种 特殊 的 内 置 账户 ,类 似 于 经 过 身份 验证 的 用 户 账户 。 就 访问 资源 的 对 象 而 言 , “本 
地 服务 ”账户 与 “Users”( 用 户 ] 组 成 员 权限 等 同 。 这 种 限制 性 访问 有 助 于 在 个 别 服务 或 进程 受 损 时 保障 系 
统 安 全 ， 以 “本 地 服务 ”账户 运行 的 服务 使 用 有 匿名 凭据 的 空 会 话 来 访问 网 络 资源 。 账 户 名 称 为 
NTAUTHORITY\LocalService， 该 账户 没有 密码 。 


EST 
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3. 网 络 服务 账户 


网 络 服务 账户 也 是 一 种 特殊 的 内 置 账户 , 类 似 于 经 身份 验证 的 用 户 账户 。 就 访问 资源 的 对 象 而 言 ,“ 网 
络 服务 ”账户 与 “Users”( 用 户 ] 组 成 员 权 限 等 同 。 这 种 限制 性 访问 有 助 于 在 个 别 服务 或 进程 受 损 时 保障 系 
统 安 全 ， 以 “网 络 服务 ”账户 运行 的 服务 可 以 使 用 计算 机 账户 的 凭据 来 访问 网 络 资源 。 账 户 名 称 为 
NTAUTHORITY\NetworkService， 该 账户 没有 密码 。 


注意 : 如 果 更 改 默认 服务 设置 ， 重 要 的 服务 可 能 无 法 正常 运行 . 最 重要 的 是 ,更改 启 动 类 型 一 定 要 谨慎 ， 
要 使 用 配置 了 自动 启动 服务 的 设置 来 登录 .。 


2.5.3 ”服务 权限 


每 个 服务 都 有 特定 的 权限 ， 管 理 员 可 以 将 这 些 权限 授予 每 一 个 用 户 或 组 ， 也 可 以 从 用 户 或 组 的 权限 中 


取消 相应 的 服务 权限 。 


权 限 
完全 控制 
查询 模板 
更 改 模板 
状态 查询 
列举 依存 关系 
启动 
停止 
暂停 和 继续 
询问 
用 户 定义 的 控制 
删除 
读 取 权限 
更 改 权限 
取得 所 有 权 


服务 具有 的 权限 及 描述 如 表 2-1 所 示 。 
表 2-1 服务 权限 及 描述 


描 述 
执行 所 有 功能 。 默 认 情 况 下 ， 服 务 会 自动 授予 登录 用 户 完全 控制 权限 
确定 与 某 个 服务 对 象 关联 的 配置 参数 
更 改 服务 的 配置 ， 如 更 改 启动 类 型 
有 关 服 务 状态 的 访问 信息 
确定 依存 于 指定 服务 的 所 有 其 他 服务 
启动 服务 
停止 服务 
暂停 或 继续 服务 

告 服务 的 当前 状态 信息 
将 用 户 定义 的 控制 请 求 或 特定 于 服务 的 请 求 发 送 给 该 服务 
删除 服务 
读 取 指派 给 服务 的 安全 权限 
更 改 指派 给 服务 的 安全 权限 
更 改 安全 密 钥 ， 或 更 改 关于 不 为 用 户 所 有 的 服务 的 权限 


2.5.4 ”漏洞 和 应 对 措施 


任何 服务 或 应 用 程序 都 是 潜在 的 攻击 点 ， 因 此 ， 必 须 禁 用 或 删除 系统 环境 中 不 需要 的 服务 或 可 执行 文 
件 ， 或 者 直接 删除 闲置 的 网 络 服务 。 通 常情 况 下 ， 为 服务 设置 适当 的 启动 方式 ， 是 避免 服务 漏洞 攻击 的 首 
选 方式 。Windows Server 2008 系统 服务 提供 如 下 4 种 启动 方式 。 

于 自动。 此 服务 随 着 系统 启动 时 启动 ， 延 长 启动 所 需要 的 时 间 ， 有 些 服务 是 必须 设置 为 自动 的 ， 如 

Remote Procedure Call(RPC) 。 由 于 依存 关系 或 其 他 影响 ， 其 他 的 一 些 服 务 也 必须 设置 为 自动 ， 这 
样 的 服务 最 好 不 要 去 更 改 它 ， 否 则 系统 无 法 正常 运行 。 
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里“ 手动。 如果 某 系统 服务 被 设置 为 手动 启动 方式 ， 则 用 户 可 以 在 需要 时 再 运行 它 。 以 便 节 省 大 量 的 
系统 资源 ， 加 快 系统 启动 。 
于 “已 禁用 。 此 类 服务 不 能 再 运行 。 这 个 设置 一 般 在 提高 系统 安全 性 时 使 用 。 如 果 怀 疑 一 个 陌生 的 服 
务 会 给 当前 系统 带 来 安全 隐患 ， 则 可 以 先 尝试 停止 它 , 看 看 系统 是 否 能 正常 运行 。 如果 一 切 正常 
则 就 可 以 直接 禁用 。 如 果 以 后 需要 这 个 服务 ， 在 启动 它 之 前 ， 必 须 先 将 启动 类 型 设置 为 自动 或 
手动 。 
时 自动 (延迟 的 启动 )]。 这 是 Windows Vista 和 Windows Server 2008 系统 中 新 增 的 控制 方式 ， 其 作 
用 是 延缓 服务 的 启动 ， 以 减 小 系统 载 入 时 的 负荷 ， 使 系统 尽快 进入 用 户 响 应 状态 后 再 启动 某 些 关 
键 的 服务 。 由 于 许多 系统 服务 之 间 都 存在 依存 关系 ， 建 议 慎重 选择 该 选项 ， 以 免 设置 不 当 导 致 系 
统 启动 故障 。 
对 于 所 有 非 必要 的 服务 应 当 禁 用 。 除 此 之 外 ， 还 可 通过 配置 用 户 定义 账户 列表 的 访问 控制 列表 (ACL) 
来 编辑 服务 安全 性 。 
虽然 禁用 不 必要 的 服务 可 以 减少 系统 资源 的 占用 以 及 系统 漏洞 ， 但 有 些 服务 (例如 Security Accounts 
Manager) 禁 用 后 将 导致 系统 无 法 引导 ， 禁 用 一 些 关键 服务 可 能 使 计算 机 无 法 通过 域 控制 器 的 身份 验证 。 因 
此 ， 为 安全 起 见 ， 在 禁用 系统 服务 前 应 先 在 测试 环境 中 测试 。 


2.5.5 ”配置 系统 服务 安全 


默认 情况 下 ， 大 多 数 系统 服务 的 登录 账户 都 是 “本 地 系统 账户 ”。 如 有 特殊 需要 ， 可 按照 如 下 步骤 更 
改 为 其 他 账户 。 
中 ”依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “服务 ”， 打 开 “ 服 务 ” 窗 口 。 双 击 需 要 更 改 登录 账户 的 服 
务 (如 Windows Installer 服务 )， 打 开 服 务 属性 对 话 框 ， 切 换 至 如 图 2-32 所 示 的 “登录 ”选项 卡 ， 
默认 选择 “本 地 系统 账户 ” 单 选 按钮 。 


都 肌 我 配 填 用 户 帐户 登录 议 硕 。 
您 可 让 用 或 禁用 以 下 所 有 8 硬件 配 秆 文件 服务 CD) 


hdocked Prefils 已 启用 


王仁 配 置 立 件 轩 法 二 难 部 签 。 Ea 茜 用 中) 
取消 二 而 


图 2-32 “登录 ”选项 卡 
© 注意 ， 建 议 不 要 选中 “允许 服务 与 桌面 交互 复 选 框 。 如 果 允 许 服务 与 桌面 交互 ， 则 服务 在 桌面 上 显示 


的 任何 信息 也 都 会 显示 在 交互 用 户 的 桌面 上 。 恶意 用 户 可 能 会 获得 对 该 服务 的 控制 权 ， 或 从 交互 桌面 攻 
击 它 。 


ES 
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@ 选择 “此 账户 ” 单 选 按钮 ， 单 击 “ 浏 览 ” 按 钮 ， 打 开 “ 选 择 用 户 ” 对 话 框 ， 在 “输入 要 选择 的 对 
象 名 称 ” 文 本 框 中 输入 想 要 设置 的 登录 账户 ， 如 图 2-33 所 示 。 也 可 以 单 击 “高 级 ”按钮 ， 从 用 户 
列表 中 搜索 目标 账户 。 


图 2-33 更 改 账户 


@ 单 击 “ 确 定 ” 按 钮 ， 即 可 将 所 选 账户 添加 到 “此 账户 ”文本 框 中 。 本 例 中 使 用 的 Local Service 账 
户 ， 密 码 必须 为 空 ， 如 图 2-34 所 示 。 如 果 选 择 其 他 账户 。 则 在 “密码 ”和 “确认 密码 ”文本 框 中 
输入 用 户 账户 的 密码 即 可 。 

@ 单 击 “ 应 用 ”按钮 ， 显 示 如 图 2-35 所 示 对 话 框 ， 提 示 已 经 成 功 授予 用 户 账户 “以 服务 方式 登录 ” 
的 权利 。 


staller 的 展 性 本 地 计算 机 】 


图 2-34 “此 账户 ”已 添加 图 2-35 登录 账户 更 改 成 功 
回 单 击 “确定 ”按钮 ， 保 存 设置 即 可 。 需 要 注意 的 是 ， 必 须 重启 服务 才 可 使 更 改 生效 。 


2.5.6 ”系统 服务 详解 


管理 员 虽 然 不 必 详 细 了 解 每 一 项 系统 服务 的 安全 配置 ， 但 为 了 确保 必要 系统 服务 正常 运行 ， 往 往 还 需 
要 一 些 附加 服务 ， 因 此 ， 管 理 员 应 简要 了 解 重要 系统 服务 的 主要 功能 ， 以 及 与 其 他 系统 服务 间 的 依附 关系 。 
默认 情况 下 ，Windows Server 2008 系统 提供 如 表 2-2 所 示 的 系统 服务 。 


表 2-2 Windows Server 2008 系统 服务 详解 


服务 名 称 功 能 默认 状态 _| 推荐 设置 

oe a 该 服务 主要 用 于 为 系统 与 一 些 旧 版 本 或 存在 兼容 性 问题 的 应 用 程序 手动 
提供 解决 方案 ， 如 果 服务 器 上 没有 运行 此 类 程序 ， 则 不 必 启 动 该 服务 
启用 该 服务 即 可 使 用 Administrator 权限 安装 旧版 本 的 软件 ， 配 合 

Application Information | UAC(User Account Control， 用 户 账户 控制 使用， 可 以 防止 木马 和 | 手动 手动 
不 知名 的 病毒 安装 程序 入 侵 

Di 为 特殊 应 用 软件 提供 服务 ， 例 如 Windows 防火 墙 ， 主 要 是 为 

evi Internet 连接 提供 第 三 方 协议 插件 支持 。 在 大 多 数 情况 下 ， 该 服务 | 手动 手动 
会 随 着 其 他 服务 自动 启动 
主要 用 于 提供 集中 式 管理 , 例如 使 用 活动 目录 分 发 软件 等 ， 如 果 是 Es 2 

Application Management 、 手动 手动 
独立 服务 器 ， 建 议 关 闭 该 服务 

Background Intelligent 用 于 Windows 系统 自动 更 新 ， 以 便 在 后 台 传 输 补 丁 程序 ， 如 果 不 | 自动 (延迟 自动 

Transfer Service 使 用 Windows Update 可 以 关闭 的 启动 
主要 是 为 系统 安全 方面 提供 服务 ， 如 防火 墙 、 远 程 连接 、Internet 

Base Filtering Engine 连接 共享 以 及 一 些 不 常用 的 协议 都 需要 使 用 该 服务 ， 建 议 设置 为 | 自动 自动 
“自动 ”方式 

BlodkLevel Backup | 用 于 Windows Server 2008 备份 及 恢复 , 可 以 根据 需要 开启 或 关闭 | 手动 手动 


Engine Service 


Certificate Propagation 


CNG Key Isolation 


COM+ Event System 


使 用 VPN 接 入 方式 的 网 络 要 求 使 用 Smart Cards， 该 服务 是 Smart 
Cards 服务 所 必需 的 ， 如 果 没有 这 方面 的 需求 ， 特 别 是 个 人 用 户 可 
以 关闭 

如 果 启 动 Wired AutoConfig 和 WLAN AutoConfig 两 个 服务 ， 而 且 
使 用 了 EAP (Extensible Authentication Protocol， 扩 展 认证 协议 )， 
则 该 服务 将 自动 启动 。 如 果 不 使 用 自动 网 络 配置 方式 ， 则 可 以 关闭 
该 服务 

支持 系统 事件 通知 服务 (SENS)， 此 服务 为 订阅 的 组 件 对 象 模型 
(COM) 组 件 提供 自动 分 布 事 件 功能 。 如 果 停 止 此 服务 ，SENS 将 关 
闭 , 而 且 不 能 提供 登录 和 注销 通知 。 如 果 禁 用 此 服务 ， 依 赖 此 服务 
的 其 他 服务 都 将 无 法 启动 


手动 


自动 


禁用 


自动 


COM+ System 


Application 


管理 COM+ 组 件 的 配置 和 跟踪 。 如 果 停 止 该 服务 ， 则 大 多 数 基 于 
COM+ 的 组 件 将 不 能 正常 工作 。 该 服务 通常 用 于 应 用 程序 开发 ， 如 
COM+ 程 序 、.NET 程序 等 


Fol 
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续 表 
服务 名 称 功 能 默认 状态 | 推荐 设置 

Pe 提供 浏览 局 域 网 计算 机 的 功能 ， 如 果 关闭 该 服务 ， 将 无 法 访问 局 域 网 ， 禁用 手动 

并 且 任 何 直接 依赖 于 此 服务 的 服务 将 无 法 启动 

维护 和 管理 系统 的 所 有 证 书 、 密 钥 以 及 安全 数据 库 。 另 外 访问 一 些 网 站 
Cryptographic 所 需要 的 服务 , 例如 访问 微软 网 站 、Windows Update 或 者 DRM 网 站 等 ， 自动 自动 
Services 都 需要 使 用 该 服务 。 如 果 关 闭 该 服务 , 则 这 些 管理 服务 将 无 法 正常 运行 ， 

任何 依赖 它 的 服务 也 将 无 法 启动 
DCOM Server Process | 为 DCOM 服务 提供 加 载 功 能 ,是 Windows Server 2008 系统 的 基本 服务 ， 吕 a 
Launcher 建议 慎重 配置 i Ea 
Desktop Window _ 
i 提供 桌面 窗口 管理 器 启动 和 维护 服务 ， 所 有 Aero Glass 和 Flip 3D 效果 自动 手动 

均 依 赖 该 服务 
Manager 

为 此 计算 机 注册 并 更 新 IP 地 址 ， 如 果 启 用 “自动 获取 IP 地 址 ”配置 方 自动 ( 启 
DHCP Client 式 ， 则 必须 启动 该 服务 ， 否 则 计算 机 将 不 能 接收 动态 IP 地 址 和 DNS | 自动 动 的 延 

更 新 迟 ) 
Diagnostic Policy 提供 IE 7.0 的 故障 诊断 、 排 除 和 解决 方案 。 如 果 该 服务 被 停止 ， 诊 断 将 自动 禁用 
Service 不 会 继续 正常 运行 ， 其 他 依赖 于 该 服务 的 服务 也 将 无 法 启动 
Diagnostic Service 合 Diagnostic Policy Service 服务 完成 一 些 具体 工作 ， 如 果 停 止 该 服 手动 禁用 
Host 务 ， 一 些 系 统 诊断 功能 也 将 无 法 顺利 完成 
人 System | 为 windows 系统 组 件 提供 故障 诊断 和 解决 方案 手动 | 禁用 
Distributed Link 维护 某 个 计算 机 内 或 某 个 网 络 中 的 计算 机 的 NTFS 文件 之 间 的 链接 ， 如 自动 禁用 
Tracking Client 果 服 务 器 使 用 的 是 NTFS 文件 系统 ， 则 必须 启动 该 服务 
ee 协调 路 多 个 数据 库 、 消 息 队列 、 文 件 系统 等 资源 管理 器 的 事务 。 如 果 停 - - 本 

止 此 服务 ， 则 不 会 发 生 这 些 事务 , 
Coordinator 动 ) 

DNS 客户 端 服务 用 于 缓存 域名 系统 名 称 并 注册 该 计算 机 主机 名 称 。 如 果 到 _ 
DNS Client 自动 自动 


该 服务 被 停止 ， 将 继续 解析 DNS 名 称 ， 即 无 法 访问 Internet 

可 扩展 验证 协议 主要 提供 802.1x 有 线 和 无 线 、VPN 和 网 络 访问 保护 功 
A 能 。EAP 在 身份 验证 过 程 中 也 提供 网 络 访问 客户 端 使 用 的 应 用 程序 编程 手动 手动 
接口 (API)， 包 括 无 线 客户 端 和 VPN 客户 端 。 如果 禁 用 此 服务 ， 该 计算 
机 将 无 法 访问 需要 EAP 身份 验证 的 网 络 


Extensible 


Protocol 


Funetion Discovery | 功能 发 现 提供 程序 的 主机 进程 ， 与 PnP-X 和 SSDP 服务 相互 关联 手动 ” | 手动 


Provider Host 


发 布 该 计算 机 以 及 连接 到 该 计算 机 的 资源 ， 以 便 能 够 在 网 络 上 发 现 这 些 
资源 。 如 果 该 服务 被 停止 ， 将 不 再 发 布 网 络 资源 ， 网 络 上 的 其 他 计算 机 | 自动 手动 
将 无 法 发 现 这 些 资源 

为 系统 提供 组 策略 管理 功能 , 如 果 停止 或 禁用 该 服务 , 将 无 法 应 用 设置 ， 


Group Policy Client 。 | 并 且 将 无 法 通过 组 策略 管理 应 用 程序 和 组 伯 Ei i 


Function Discovery 


Resource Publication 
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服务 名 称 功 能 默认 状态 | 推荐 设置 
Health Key and 
为 网 络 访问 保护 代理 提供 X509 证 书 和 密 铀 管理 服务 .如 果 关闭 该 服务 ，| 。_ _ 
Certificate 手动 手动 
则 无 法 使 用 X509 证 书 功能 
Management 
启用 对 智能 界面 设备 (HID] 的 通用 输入 访问 ， 激 活 并 保存 键盘 、 远 程控 
Human Interface 
制 和 其 他 多 媒体 设备 上 的 预先 定义 的 热 键 。 如 果 此 服务 被 终止 ， 由 此 服 | 手动 手动 
Device Access 
务 控制 的 热 键 将 失效 
该 服务 托管 nternet 密 钥 交换 和 身份 验证 Internet 协议 键 控 模 块 。 这 些 
HKE and AuthIP IPsee | 刍 控 模块 用 于 Internet 协议 安全 中 的 身份 验证 和 密 钥 交换。 停止 或 禁用 | 。 本 
Keying Modules 该 服务 将 禁用 与 对 等 计算 机 的 IKE/AuthIP 密 钥 交换 ,建议 运行 IKEEXT 
服务 
Re 启用 交互 式 服务 的 用 户 输入 的 用 户 通知 , 这 样 当 交 互 式 服务 创建 的 对 话 
i “WW | 框 出 现时 可 以 访问 这 些 对 话 框 。 如 果 此 服务 已 停止 ,将 不 再 有 新 的 交互 | 手动 ” | 手动 
人 式 服务 对 话 框 通知 ， 而 且 可 能 再 也 无 法 访问 交互 式 服务 对 话 框 
internet Conneetion | 为 办 公 网 络 提供 网 络 地 址 转换 、 寻 址 、 名 称 解 折 和 入 侵 保护 服务 ， 主 要 | 六 二 
Sharing (ICS 功能 是 网 络 连接 共享 。 如 果 不 是 这 种 方式 接 入 Internet， 则 可 以 关闭 
在 IPv4 网 络 上 提供 自动 的 IPv6 连接 。 如 果 停止 此 服务 ， 则 在 计算 机 连 
IP Helper 接 到 本 地 IPv6 网 络 时 ， 该 计算 机 将 只 具有 IPv6 连接 。 如 果 只 连接 IPv4 | 自动 手动 
网 络 ， 则 无 需 启用 该 服务 
Internet 协议 安全 支持 网 络 级 别 的 对 等 身份 验证 、 数 据 原始 身份 验证 、 
ee 数据 完整 性 、 数 据 机 密 性 以 及 重播 保 护 。 如 果 所 在 风 络 中 无 配置 安 全 | 
eePoliey Agent | 策略 , 则 可 以 关闭 该 服务 。 此 服务 停止 时 ，Windows 防火 墙 的 远程 管 
理 也 不 再 可 用 
f 
i 机 挫 调 分 布 式 传输 协调 程序 (MSDTC) 和 核心 务 管理 器 (KTM 之 癌 的 事 | 。 ( 吉 
ti tt 
et 务 ， 主 要 用 于 为 系统 开发 人 员 提供 服务 。 普 通用 户 可 以 设置 为 “手动 ”| 、” ”| 手动 
Transaction 迟 启动 ) 
状态 
Coordinator 
支持 LLTD 技术 ， 可 以 精确 地 显示 支持 LLTD 的 设备 在 网 络 结构 中 的 位 
Link-Layer Topology 机 二 
置 。 创建 网 络 映射 ， 它 由 PC 和 设备 拓扑 信息 以 及 说 明 每 个 PC 和 设备 的 | 手动 手动 
Discovery Mapper 4 
元 数据 组 成 
i i 吕 
Pi ee 为 NGEN 的 应 用 提供 支持 ， 目 前 主要 用 于 NET 各 放 开 发 ,将 还 可 以 | | 二 
ee 为 基于 .NET FX3 的 程序 开发 提供 支持 ， 保 持 默认 设置 即 可 
V2.0.50727_X86 
Microsoft Fibre 
Channel Platform | 注册 带 有 所 有 可 用 光纤 通道 纤维 的 平台 ， 并 维护 这 些 注册 手动 手动 
Registration Service 
管理 本 计算 机 以 及 到 远程 iSCSI 目标 设备 的 Internet SCSI 会话 。 如 果 当 
Mi iSCSI 
ee 前 服务 器 没有 iSCSI 设备 , 也 不 需要 连接 和 访问 远程 iSCSI 设备 , 则 可 以 | 手动 手动 


Initiator Service 


关闭 该 服务 
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续 表 
服务 名 称 功 能 默认 状态 | 推荐 设置 
管理 郑 影 复制 服务 制作 的 基于 软件 的 郑 影 副本 。 如 果 关闭 该 服务 , 将 无 | | 二 
法 管理 基于 软件 的 卷 影 副本 
Provider 
Multimedia Class | 主要 为 本 地 计算 机 的 多 媒体 应 用 提供 服务 ， 如 视频 、 音 朱文 件 播放 。 关 | | 
Stiiedidler 闭 该 服务 可 能 会 导致 声卡 出 现 故 障 
为 用 户 和 服务 身份 验证 维护 此 计算 机 和 域 控制 器 之 间 的 安全 通道 。 如 果 
Wi 关闭 该 服务 , 则 计算 机 可 能 无 法 验证 用 户 和 服务 身份 并 且 域 控制 器 无 法 | 手动 ” | 手动 
注册 DNS 记录 
MemerkAeeess | 在 客户 端 计算 机 上 启用 网 络 访问 保护 功能 ， 即 配置 NAP 客户 端 手动 ” | 和 
Protection Agent 
ewan Cs。 | 管理 “网络 和 投 呈 连接 " 文件 天 中 对 象 ， 管 理 员 可 以 查看 局 域 网 和 远程 | | 
连接 ,或 者 访问 网 络 资源 
| 识别 计算 机 已 连接 的 网 络 ,收集 和 存储 这 些 网 络 的 属性 ， 并 在 更 改 这 些 | ，_ 
Network List Service 属性 时 通知 应 用 程序 自动 自动 
Network Location | 收集 和 在 依 网 络 的 配置 信 息 ， 关 在 此 信息 被 修改 时 向 程序 发 出 通知 如 |。 | 了 
Awareness 果 关 闭 此 服务 ， 则 配置 信息 将 不 可 用 
oto pee 该 服务 支持 NLA 服务 ， 向 用 户 模式 客户 端 发送 网络 通知 (例如 , 添加 / |， | 二 
Interface Service 删除 接口 等 )。 关 闭 该 服务 将 导致 丢失 网 络 连 接 
脱 机 文件 服务 可 以 为 本 地 计算 机 上 打开 的 远程 共享 资源 提供 缓 在 ， 该 服 
omine Files 务 是 实现 公共 API 的 内 部 部 分 , 并 将 相关 的 事件 分 配给 关心 脱 机 文件 活 | 禁用 | 手动 
动 和 缓存 更 改 的 用 户 
ororanance Loas & | 为 素 统 性能 日 志和 区 报 功能 提供 支持 , 对 于 服务 器 而 言 收集 远程 计算 机 
A 的 性 能 数据 也 需要 用 到 该 服务 。 需要 注意 的 是 该 服务 可 能 会 占用 较 多 的 | 手动 ” ”| 手动 
系统 资源 ， 应 根据 需要 开启 或 关闭 
该 服务 用 于 提供 即 插 即 用 功能 ， 使 计算 机 在 极 少 或 没有 用 户 介入 的 情况 | ，_ _ 
Plug and Play 要 到 自动 自动 
下 可 以 识别 并 适应 硬件 的 更 改 。 关 闭 该 服务 会 造成 系统 不 稳定 
PnP-X 总 线 枚 举 器 服务 管理 虚拟 网 络 总 线 ， 该 服务 是 即 插 即 用 的 扩展 ， 
PnP-XIP Bus 使 用 SSDP/WS 发 现 协议 来 发 现 网 络 连接 设备 并 使 其 存在 于 PnP 中 ， 如 禁用 禁用 
Bide 能 联网 的 电 饭 锅 、 冰 箱 等 。 如 果 停止 或 禁用 此 服务 ， 则 NCD 设备 将 不 
会 继续 保持 在 PnP 中 。 所 有 基于 Pnp-X 的 方案 都 将 停止 运行 
Portable Device 该 服务 的 主要 功能 是 ， 使 Windows Media Player 和 移动 媒体 播放 器 (如 手动 手动 
Enumerator Service MP3) 进 行 数据 和 时 钟 同步 
本 该 服务 允许 将 文件 加 载 到 内 存 供 稍 后 打印 ,如果 不 需 本 地 或 任何 网 络 打 | ay。 | 了 
印 机 ， 则 可 以 关闭 该 服务 
To em Repoms and | 此 服务 为 查看 、 发 送 和 删除 “问题 报告 和 解决 方案 ”控制 面板 的 系统 级 | 
Solutions Control 手动 手动 


问题 报告 提供 支持 ， 一 般 情况 下 作用 不 大 


Panel Support 
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续 表 


服务 名 称 功 能 默认 状态 | 推荐 设置 
为 敏感 数据 (如 密码 ) 提 供 保护 存储 ， 以 防止 未 授权 的 服务 、 进 程 或 用 户 _ 
Protected Storage g 手动 手动 
访问 
a a DNS 或 WeDos 名 或 者 地 址 时 ， 就 会 创建 
一 个 到 远程 网 络 的 连接 ， 例 如 VPN 远程 访问 等 。 如 果 关 闭 该 服务 ， 将 | 手动 手动 
Connection Manager | 无 法 建立 远程 网 络 连接 
Remote Access 管理 从 这 人 台 计 算 机 到 Internet 或 其 他 远程 网 络 的 拨号 和 VPN 连接 。 如 二 时 
Connection Manager “| 果 禁 用 该 项 服务 ， 则 明确 依赖 该 服务 的 任何 服务 都 将 无 法 启动 iid 
Remote Procedure 为 COM 和 COM+ 的 运行 提供 支持 。 如 果 关 闭 该 服务 ， 使 用 COM 或 远程 站 去 
Call (RPC) 过 程 调用 (RPC) 服 务 的 程序 将 无 法 正常 工作 
A 合 RPC 的 服务 ， 并 管理 本 地 RPC 名 称 服务 数据 库 手动 | 和 动 
Call (RPC) Locator 
使 远程 用 户 能 修改 此 计算 机 上 的 注册 表 设 置 。 如 果 关 闭 该 服务 ， 则 只 能 
Remote Registry 在 本 地 计算 机 上 修改 注册 表 自动 手动 
Resultant Set of Policy | 提供 网 络 服务 ， 即 处 理 在 不 同情 况 下 模拟 应 用 目标 用 户 或 计算 机 的 组 策 手动 手动 
Provider 略 设置 的 请 求 ， 并 计算 组 策略 设置 的 结果 集 
Routing and Remote “| 提供 路 由 和 远程 访问 功能 , 在 局 域 网 以 及 广域网 环境 中 为 企业 提供 路 由 禁用 禁用 
Access 服务 
该 服务 允许 多 个 用 户 同 时 登录 到 当前 服务 器 , 对 于 需要 接受 远程 管理 的 自动 手动 
服务 器 而 言 非常 实用 
bt 该 服 务 提供 使 用 VPN 连接 到 运程 计算 机 的 SSTP 方式 的 支持 。 如 果 该 服 | | 
务 被 禁用 ， 则 用 户 将 无 法 使 用 SSTP 访问 远程 服务 器 
Service 
Security Accounts 提供 系统 的 安全 账户 管理 服务 , 关闭 该 服务 后 将 无 法 应 用 系统 提供 的 安 自动 自动 
Manager 全 账户 管理 器 (SAM) 加 密 本 地 账户 
确保 本 地 计算 机 发 布 到 网 络 上 的 共享 资源 ， 可 以 被 顺利 访问 ， 如 共享 文 
Server 件 、 打 印 机 等 。 如 果 关 闭 该 服务 ， 网 络 用 户 将 无 法 访问 该 服务 器 上 的 共 | 自动 手动 
享 资源 
Shell Hardware 
i 为 自动 播放 硬件 事件 提供 通知 ， 如 多 媒体 光盘 或 其 他 移动 存储 介质 等 ”| 自动 手动 
SL UI Notification 提供 软件 授权 激活 和 通知 , 和 Software Licensing 一 起 是 用 于 Windows 手动 手动 
Service Server 2008 或 其 他 一 些 软 件 激活 服务 
管理 此 计算 机 对 智能 卡 的 读 取 访问 , 如果 企 业 网 络 启用 的 用 户 验证 方式 
Smart Card 为 智能 卡 ， 则 应 启用 该 功能 。 如 果 此 服务 被 终止 ， 此 计算 机 将 无 法 读 取 | 手动 手动 
智能 卡 
Smart Card Removal | 允许 系统 配置 为 移 除 智能 卡 时 锁定 用 户 桌 面 。 例如， 如 果 希 望 在 用 户 拿 手动 手动 
Policy 走 智能 卡 之 后 计算 机 锁定 ， 那 么 打开 这 个 服务 


G5, 


@ Windows Server 2008 


续 表 
服务 名 称 功 能 默认 状态 | 推荐 设置 
收集 本 地 或 远程 计算 机 的 SNMP 信息 , 并 将 其 转发 给 本 机 的 SNMP 管理 
SNMP Trap 程序 .如 果 关 闭 该 服务 ,此 计算 机 上 基于 SNMP 的 程序 将 不 会 接收 SNMP | 手动 手动 
陷阱 消息 
负责 Vista 系统 的 License 管理 和 验证 以 及 提供 接口 和 API 服务 ， 供 
Windows 系统 或 其 他 应 用 程序 使 用 。Vista 的 新 增 特性 均 会 使 用 这 个 服 二 
Software Licensing 自动 自动 
务 ， 如 果 禁 用 该 服务 ， 操 作 系统 和 许可 的 应 用 程序 可 能 以 缩减 功能 模式 
运行 
Special 
Administration 人 允许 管理 员 使 用 紧急 管理 服务 远程 访问 命令 行 提示 符 手动 手动 
Console Helper 
该 服务 在 网 络 中 搜索 使 用 了 SSDP 发 现 协议 的 一 些 设备 ， 比 如 一 些 非 即 
SSDP Discovery 插 即 用 的 设备 ， 也 会 在 设备 管理 中 枚 举 本 机 上 的 非 即 插 即 用 设备 。 如 果 | 禁用 禁用 
停止 此 服务 ， 基 于 SSDP 的 设备 将 不 会 被 发 现 
Superfetch 维护 和 提高 一 段 时 间 内 的 系统 性 能 ， 非 常 实用 禁用 禁用 
System Event SENS 提供 了 一 个 唯一 的 系统 追踪 、 通 知 的 机 制 ， 使 其 用 于 系统 的 登录 、 手动 
Notification Service 设备 连接 、 网 络 连 接 、 电 源 和 内 部 事件 的 订阅 及 通知 
eo 该 服务 提供 定制 任务 功能 , Windows 系统 或 第 三 方 应 用 程序 都 需要 用 到 自动 自动 
该 服务 。 如 果 关闭 该 服务 ， 则 用 户 将 无 法 完成 任何 定制 任务 
TCP/IP NetBIOS 主要 是 支持 NetBIOS 名 称 的 解析 ， 从 而 使 用 户 能 够 共享 文件 、 打 印 和 自动 手动 
Helper 登录 到 网 络 。 如 果 关闭 服务 ， 这 些 功能 可 能 不 可 用 
aero 提供 电话 服务 API 支持 ,以 便 各 程序 控制 本 地 计算 机 上 的 电话 服务 设备 自动 自动 
以 及 通过 LAN 同样 运行 该 服务 的 服务 器 上 的 设备 
允许 用 户 以 交互 方式 连接 到 远程 计算 机 ， 如 远程 人 桌面、 远程 协助 、 远 程 
Terminal Services 终端 服务 等 。 若 要 防止 远程 使 用 此 计算 机 ， 请 清除 “系统 ”属性 控制 面 | 自动 手动 
板 项 目的 “远程 ”选项 卡 上 的 复 选 框 
Terminal Services 该 服务 允许 管理 员 使 用 远程 桌面 或 远程 管理 设置 , 包括 每 会 话 临时 文件 手动 手动 
Configuration 夹 、TS 主题 和 TS 证书 
ee 支持 远程 搂 的 打印 机 、 到 动 器 、 端 品 重 定向 功能 ， 如 果 不 希望 使 用 远 | | 二 
程 功能 ， 则 可 以 关闭 该 服务 
Redirector 
Themes 为 用 户 提供 使 用 主题 管理 的 经 验 ， 如 Aero 功能 禁用 禁用 
Thread Ordering | 扫 供 特别 的 线程 排序 和 调度 服务 手动 ”| 反 
Server 
允许 访问 受信 任 的 平台 模块 ,该 模块 向 系统 组 件 和 应 用 程序 提供 基于 硬 自动 (让 
TPM Base Services 件 的 加 密 服 务 。 如 果 关 闭 该 服务 ， 应 用 程序 将 无 法 使 用 TPM 保护 的 壕 启 动 手动 
密 钥 
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服务 名 称 


功 能 


默认 状态 


推荐 设置 


UPnP Device Host 


这 是 系统 中 通用 即 插 即 用 的 设备 的 宿主 程序 ， 是 此 类 设备 和 操作 系统 通 
信 的 主体 ， 如 果 停止 此 服务 ， 则 所 有 宿主 的 UPnP 设备 都 将 停止 工作 ， 
并 且 不 能 添加 其 他 宿主 设备 


User Profile Service 


该 服务 是 装载 和 印 载 用 户 配置 文件 。 如 果 关闭 该 服务 ， 用 户 将 无 法 成 功 
登录 或 注销 ， 应 用 程序 可 能 无 法 获得 用 户 数据 


Virtual Disk 


Volume Shadow Copy 


提供 用 于 磁盘 、 卷 、 文 件 系统 和 存储 阵列 的 管理 服务 
该 服务 用 于 管理 并 执行 用 于 备份 和 其 他 目的 的 卷 影 复制 。 如 果 关闭 该 服 
务 ， 则 将 无 法 使 用 卷 影 复制 功能 ， 并 且 备份 会 失败 


Windows Audio 


管理 基于 Windows 系统 的 音频 程序 。 如 果 关闭 该 服务 ， 音 频 设备 和 效 
果 将 不 能 正常 工作 


手动 


手动 


Windows Audio 


Endpoint Builder 效果 将 不 能 正常 工作 


Windows Color 


System 


Windows Driver 
Foundation - 
User-mode Driver 


Framework 


Windows Error 


Reporting Service 


Windows Event 


Collector 


Windows Event Log 


Windows Firewall 


管理 Windows 音频 服务 的 音频 设备 。 如 果 此 服务 被 停止 音频 设备 和 


手动 


手动 


Windows 系统 色彩 管理 模块 ， 如 Windows 颜色 系统 基线 颜色 设备 和 
gamut 映射 模型 的 特定 于 供应 商 的 扩展 。 如 果 关 闭 该 服务 ， 则 可 能 导致 
颜色 显示 不 正确 


管理 用 户 模式 驱动 的 主 进程 ， 主 要 应 用 于 程序 开发 人 员 


允许 在 程序 停止 运行 或 停止 响应 时 报告 错误 ， 并 提供 现 有 解决 方案 。 如 
果 此 服务 被 停止 ， 则 错误 报告 将 无 法 正确 运行 ， 并 且 不 显示 诊断 服务 和 
修复 的 结果 

该 服务 主要 为 系统 提供 性 能 分 析 和 系统 监控 功能 ， 包 括 Windows 事件 
日 志 、 硬 件 以 及 启用 IPMI 的 事件 源 。 该 服务 将 转发 的 事件 存储 在 本 地 
活动 日 志 中 ， 如 果 关 闭 ， 将 无 法 创建 事件 订阅 和 接受 转发 的 事件 

此 服务 管理 事件 和 事件 日 志 , 支持 日 志 记 录 事 件 、 查询 事件 、 订阅 事件 、 
归档 事件 日 志 以 及 管理 事件 元 数据 。 如 果 关 闭 该 服务 ， 则 可 能 危及 系统 
的 安全 性 和 可 靠 性 ， 尤 其 是 对 服务 器 而 言 

该 服务 主要 提供 Windows 防火 墙 功 能 ， 可 以 通过 限制 未 授权 用 户 或 程 
序 访问 本 地 计算 机 来 保护 系统 安全 


手动 


自动 


手动 


手动 


Windows Installer 


添加 、 修 改 和 删除 以 Windows Installer(*.msi) 程 序 包 提供 的 应 用 程序 。 
如 果 禁 用 了 此 服务 ,将 无 法 执行 此 类 安装 程序 ， 任 何 完全 依赖 它 的 服务 
不 会 被 启动 


Windows 
Management 


Instrumentation 


系统 管理 服务 ， 为 用 户 提供 统一 的 界面 和 对 象 模式 ， 以 便 访问 有 关 操 作 
系统 、 设 备 、 应 用 程序 和 服务 的 管理 信息 。 如 果 此 服务 被 终止 ， 多 数 基 
于 Windows 的 软件 将 无 法 正常 运行 


Windows Modules 
Installer 


启用 Windows 更 新 和 可 选 组 件 的 安装 、 修 改 和 删除 。 如 果 此 服务 被 禁 
用 ， 则 Windows 更 新 的 安装 或 卸载 可 能 会 失败 


OZ 


四 ED 


续 表 
服务 名 称 功 能 默认 状态 | 推荐 设置 
Windows Remote 。 | 多 放 从 运程 行 计算 机 管理 或 信息 收集 。wS-Management 是 用 于 运程 | (寺庙 动 (二 
i 软件 硬件 管理 的 标准 Web 服务 协议 。WinRM 服务 人 网络 上 的 | | 这 让 
(Ws-Management) WSs-Management 请 求 并 对 它们 进行 处 理 
维护 在 网 络 上 的 所 有 客户 端 和 服务 器 的 时 间 和 日 期 同步 。 如 果 此 服务 被 
Windows Time 停止 ， 时 间 和 日 期 的 同步 将 不 可 用 。 如 果 关闭 该 服务 ， 则 域 环境 中 的 客 | 自动 ” “| 自动 
户 端 可 能 无 法 登录 到 域 控制 器 
启用 检测 、 下 载 和 安装 Windows 和 其 他 程序 的 更 新 。 如 果 此 服务 被 条 | 。 志 
Windows Update | 用 ,这 生计 算 机 的 用 户 将 无 法 使 用 Windows Update 或 其 自动 更 新 功能 ，| ij | 自动 
建议 为 服务 器 启用 该 服务 
de 允许 HTTP 客户 六 自动 发 现代 理 服务 器 配置， 该 服务 使 应 用 程序 支持 |。 | 二 
WPAD 协议 的 应 用 
Service 
Wired AutoConfig 此 服务 要 求 系统 对 以 太 网 接口 自动 执行 IEEE 802.1X 身份 验证 手动 手动 
We WI 信息 转换 ， 为 性 能 监控 、 事 件 日 志 工 具 提供 服务 手动 | 手动 
和 创建 和 管理 到 远程 服务 器 的 网 络 连 接 ， 在 局 并 网 环境 中 ， 必 须 让 用 该 服 | | 二 
务 才 可 以 实现 与 其 他 计算 机 的 连接 


2.6 端口 安全 


端口 ， 是 服务 器 上 的 网 络 服务 得 以 对 外 提供 的 主要 通道 ， 一 台 被 配置 IP 地 址 的 服务 器 ， 可 以 提供 多 种 
不 同 的 网 络 服务 ， 这 主要 是 因为 每 个 网 络 服务 使 用 的 端口 是 不 同 的 。 每 个 IP 地 址 可 提供 65536 个 端口 , 有 
些 端口 是 默认 开放 的 ， 有 些 则 是 关闭 的 ， 而 开放 的 端口 随时 都 有 可 能 成 为 非法 入 侵 者 的 跳板 ， 因 此 ， 必 须 
充分 了 解 计算 机 的 端口 开放 情况 。 


2.6.1 ”端口 分 类 


通常 情况 下 ，IP 地 址 的 端口 都 是 以 端口 号 来 标记 的 ， 端 口号 是 从 0 一 65535 之 间 的 一 个 任意 整数 。 从 
逻辑 意义 上 说 ， 端 口 分 类 有 多 种 分 类 标准 ， 按 端口 号 分 布 划 分 和 按 协 议 类 型 划分 是 其 中 较为 常用 的 两 种 分 
类 方法 。 

1. 端口 号 划分 

按照 端口 号 划分 ， 可 以 将 端口 分 为 3 大 类 ， 即 公认 端口 、 注 册 端 口 、 动 态 或 私有 端口 。 

(CD 公认 端口 

公认 端口 (Well Known Ports]) 范 围 为 0 一 1023。 这 些 端口 号 一 般 被 系统 固定 的 分 配给 一 些 服务 。 例 如 : 
21 端口 被 分 配给 FTP 服务 ，25 端口 被 分 配给 SMTP( 简 单 邮件 传输 协议 ) 服 务 ，110 端口 被 分 配给 POP3 服 
务 ; 80 端口 被 分 配给 WWW 服务 ; 135 端口 被 分 配给 RPC( 远 程 过 程 调 用 ) 服 务 等 。 
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(2] 注册 端口 

注册 端口 [Registered Ports) 范 围 为 1024 一 49151。 注 册 端 口 松散 绑 定 于 一 些 服 务 ， 即 端口 号 一 般 都 不 
会 固定 的 分 配给 某 个 服务 ， 许 多 服务 都 可 以 使 用 这 些 端口 。 只 要 运行 的 程序 向 系统 提出 访问 网 络 的 申请 ， 
那么 ， 系 统 就 可 以 从 这 些 端口 号 中 ， 自 动 分 配 一 个 端口 给 程序 使 用 。 比 如 ，1024 端口 就 是 分 配给 第 一 个 向 
系统 发 出 申请 的 程序 ， 而 在 该 程序 进程 关闭 后 ， 就 会 释放 其 所 占用 的 1024 端口 。 因 此 ， 注 册 端 口 在 一 定 
程度 上 降低 了 系统 的 安全 性 。 

(3] 动态 或 私有 端口 

动态 或 私有 端口 [Dynamic or Private Ports) 范 围 为 49512 一 65535。 通 常情 况 下 ， 不 建议 为 服务 分 配 这 
些 端口 。 动 态 端口 和 注册 端口 并 无 太 大 区 别 , 因此 也 可 以 直接 将 端口 按照 端口 号 划分 为 公认 端口 (0 一 1023) 
和 私有 端口 (1024 一 65535] 。 

2. 协议 类 型 划分 


端口 按 协 议 类 型 划分 ， 可 以 分 为 TCP、UDP 等 端口 。 
(D TCP 端口 
TCP 端口 是 由 TCP 协议 而 来 的 ， 即 传输 控制 协议 端口 ， 需 要 在 客户 端 和 服务 器 之 间 建 立 连接 ， 这 样 可 
以 提供 可 靠 的 数据 传输 。 
常用 TCP 端口 包括 以 下 内 容 。 
HTTP: 超 文本 传送 协议 使 用 80 端口 ， 用 于 实现 Web 服务 和 网 页 浏览 。 
FTP: 文件 传输 协议 使 用 21 端口 ， 用 于 实现 文件 的 上 传 和 下 载 。 
SMTP: 简单 邮件 传送 协议 使 用 25 端口 ， 用 于 发 送 电 子 邮 件 。 
POP3: 邮局 协议 使 用 110 端口 ， 用 于 接收 电子 邮件 。 
(2) UDP 端口 
UDP 端口 ， 即 用 户 数据 包 协议 端口 ， 无 需 在 客户 端 和 服务 器 之 间 建 立 连 接 ， 安 全 性 得 不 到 保障 。 常 见 
的 有 DNS 服务 的 53 端口 ，SNMP( 简 单 网 络 管理 协议 ] 服 务 的 161 端口 ，QQ 使 用 的 8000 和 4000 端口 等 。 
常用 UDP 端口 包括 以 下 内 容 。 
里 DNS: 域名 解析 服务 使 用 53 端口 。 用 于 实现 将 域名 解析 为 IP 地 址 。 


GS 提示 : DNS 服务 还 同时 使 用 TCP 53 端口 。 


”SNMP: 简单 网 络 管理 协议 使 用 161 端口 ， 用 于 实现 对 网 络 设备 的 远程 管理 和 监视 。 由 于 网 络 设 
备 很 多 ， 无 连接 的 服务 就 体现 出 其 优势 。 

@ QQ: QQ 服务 使 用 8000 端口 ， 侦 听 是 否 有 信息 发 送 过 来 ， 客 户 端 使 用 的 则 是 4000 端口 ， 并 通过 
该 端口 向 外 发 送信 息 。 但 如 果 上 述 端口 正在 使 用 (例如 ， 同 时 与 几 个 好 友 聊 天 ]， 则 端口 号 顺序 自 
动 递增 4001、4002。 


2.6.2 ”端口 攻击 


看 似 神秘 的 网 络 攻击 其 实 很 多 都 是 通过 端口 实现 的 ， 默 认 情况 下 ， 系 统 为 了 提供 各 种 网 络 服务 和 网 络 
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访问 功能 ， 已 经 开放 了 许多 端口 ， 处 于 “待命 ”状态 。 入 侵 者 通常 都 是 借助 于 各 种 扫描 工具 ， 探 测 某 用 户 
计算 机 的 端口 开放 情况 ， 最 终 实施 系统 攻击 的 。 植 入 木马 是 比较 常用 的 端口 攻击 方式 之 一 。 简 单 地 讲 ， 木 
马 就 是 未 经 用 户 许可 就 在 计算 机 中 安装 的 非法 外 联 软件 。 

木马 主要 有 以 下 两 种 方式 : 


开放 服务 端口 的 木马 。 这 类 木马 都 需要 在 使 用 者 的 计算 机 上 开启 某 个 服务 端口 作为 “后 门 
(BackDoor)”， 成 功 后 该 后 门 处 于 LISTENING 状态 ， 其 端口 号 可 能 固定 一 个 数 ， 也 可 能 变化 ， 还 
有 的 木马 可 以 与 正常 的 端口 合用 。 例 如 开 着 正常 的 80 端口 (WWW 服务 )， 木 马 也 用 80 端口 。 这 
种 木马 最 大 的 特点 就 是 有 端口 处 于 LISTENING 状态 ， 需 要 远程 计算 机 连接 它 。 这 种 木马 对 一 般 用 
户 比较 好 防范 ， 将 防火 墙 设 为 拒绝 从 外 到 内 的 连接 即 可 。 比 较 难 防范 的 是 反弹 型 木马 。 
反弹 型 木马 。 反 弹 型 木马 是 从 内 向 外 的 连接 ， 可 以 有 效 地 穿 透 防火 墙 ， 即 使 使 用 的 是 内 网 P， 一 
般 也 能 访问 使 用 者 的 计算 机 。 这 种 木马 的 原理 是 服务 端 主动 连接 客户 端 (黑客 ) 地 址 。 木 马 的 服务 
端 软件 就 像 mternet Explorer 一 样 ， 使 用 动态 分 配 端 口 去 连接 客户 端的 某 一 端口 ， 通 常 是 常用 端 
口 ， 像 端口 80， 而 且 会 使 用 隐蔽 性 较 强 的 文件 名 ， 例 如 iexplore.exe、explorer(IE 的 程序 是 
IEXPLORE.EXE) 。 


计算 机 病毒 和 木马 通过 端口 和 其 他 的 计算 机 进行 连接 ， 在 网 络 环境 中 ， 可 以 使 用 防火 墙 或 者 本 地 安全 
策略 的 方式 关闭 某 些 端 口 。 


2.6.3 ”查看 端口 一 一 netstat 


根据 系统 提供 正在 运行 应 用 程序 和 网 络 服务 的 不 同 ， 端 口 状 态 也 可 能 是 不 断 变化 的 ， 并 且 有 些 应 用 程 
序 可 能 会 同时 调用 多 个 端口 ， 而 端口 的 数量 有 几 万 个 之 多 ， 要 想 了 解 当前 端口 的 开放 情况 和 工作 状态 并 非 
易 事 。netstat 命令 是 TCP/IP 协议 簇 中 的 一 个 常用 命令 ， 可 以 帮助 用 户 查 看 本 地 系统 端口 的 开放 情况 。 

1. netstat 命令 简介 

netstat 主要 用 于 显示 活动 的 网 络 连接 、 计 算 机 侦 听 的 端口 、 以 太 网 统计 信息 、IP 路 由 表 、IPv4 统计 信 
息 ( 对 于 IP、ICMP、TCP 和 UDP 协议 ] 以 及 IPv6 统计 信息 (对 于 IPv6、ICMPv6、 通 过 IPv6 的 TCP 以 及 通 
过 IPv6 的 UDP 协议 ) 等 。 如 果 不 使 用 任何 参数 ， 则 显示 系统 内 的 活动 的 TCP 连接 。 

netstat 命令 的 语法 格式 : 


NETSTAT [-a] [-b] [-e] [-f] [-n] [-o]l [-pP proto] [-r] [-s] [-t] [interval] 


netstat 参数 说 明 : 
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-a 一 一 显示 所 有 活动 的 TCP 连接 以 及 计算 机 侦 听 的 TCP 和 UDP 端口 。 

-b 一 一 显示 包含 于 创建 每 个 连接 或 监听 端口 的 可 执行 组 件 。 在 某 些 情况 下 已 知 可 执行 组 件 拥有 多 
个 独立 组 件 ， 并 且 在 这 些 情况 下 显示 包含 于 创建 连接 或 监听 端口 的 组 件 序列 。 这 种 情况 下 ， 可 执 
行 组 件 名 在 底部 的 [ ] 中 ， 项 部 是 其 调用 的 组 件 。 注 意 此 选项 可 能 需要 很 长 时 间 ， 如 果 没 有 足够 
权限 可 能 失败 。 

-e 一 一 显示 以 太 网 统计 信息 ， 如 发 送 和 接收 的 字 节 数 、 数 据 包 数 。 该 参数 可 以 与 -s 结合 使 用 。 
-一 一 显示 外 部 地 址 的 完全 限定 域名 (FQDN) 。 

也 一 一 显示 活动 的 TCP 连接， 但 只 以 数字 形式 表现 地 址 和 端口 号 ， 而 不 会 确定 其 名 称 。 

一 0 一 一 显示 活动 的 TCP 连接 并 包括 每 个 连接 的 进程 ID(PID). 可 以 在 Windows 任务 管理 器 中 的 “ 进 


程 ” 选 项 卡 上 ， 找 到 基于 PID 的 应 用 程序 。 该 参数 可 以 与 -a、-n 和 -p 结合 使 用 。 

于。 -p Proto 一 一 显示 Protocol 所 指定 的 协议 的 连接 .在 这 种 情况 下 ,Protocol 可 以 是 TCP、UDP、TCPv6 
或 UDPv6。 如 果 该 参数 与 -s 一 起 使 用 , 按 协 议 显 示 统计 信息 , 则 Protocol 可 以 是 TCP、UDP、ICMP、 
IP、TCPv6、UDPv6、ICMPv6 或 IPv6。 

和” -一 一 显示 IP 路 由 表 的 内 容 。 数 与 route print 命令 等 价 。 

和 ”-s 一 一 按 协 议 显示 统计 信息 。 默 认 情 况 下 ， 显 示 TCP、UDP、ICMP 和 IP 协议 的 统计 信息 。 如 果 
系统 还 安装 了 Windows XP 的 IPv6 协议 , 就 会 显示 有 关 IPv6 上 的 TCP、IPv6 上 的 UDP、ICMPv6 
和 IPv6 协议 的 统计 信息 。 可 以 使 用 -p 参数 指定 协议 集 。 


e。” 一 一 一 显示 当前 连接 务 载 状态 。 
mInterval 一 一 和 定时 间 重 新 显示 一 次 选 定 的 信息 ,单位 是 秒 。 按 Ctrl+C 停止 重新 显示 统计 信息 。 


如 果 省 略 该 参数 ，netstat 将 只 打印 一 次 选 定 的 信息 。 


© 注意 ;与 该 命令 一 起 使 用 的 参数 必须 以 连 字符 (-) 作 为 前 级 ， 而 不 能 是 短 针线 (/) 作 为 前 级 。 


2. 查看 当前 连接 

查看 当前 有 哪些 计算 机 正在 与 本 机 连接 ， 并且 所 使 用 的 IP 地 址 以 及 端口 等 信息 ， 如 果 想 要 达到 这 个 目 
的 ， 可 以 使 用 netstat 命令 行 的 方法 。 

单 击 “开始 ”按钮 ， 在 “开始 搜索 ”文本 框 中 ， 输 入 “cmd” 并 按 Enter 键 ， 显 示 “ 命 令 提 示 符 ” 窗 
口 。 在 命令 提示 符 下 输入 如 下 命令 : 


netstat -na 


按 Enter 键 执行 命令 ， 显 示 如 图 2-36 所 示 的 结果 


0.0.0-.0: 
0.0.0.0: 
0.0.0.0: 
0.0.0.0: 
0 


图 2-36 查看 当前 端口 连接 


命令 执行 结果 显示 本 机 连接 情况 及 打开 的 端口 。 其 中 包括 “协议 ”、“ 本 地 地 址 ”、“ 外 部 地 址 ”和 
“状态 ”等 “协议 ”表示 通信 协议 的 类 型 (TCP 或 UDP)。“ 本 地 地 址 ”表示 本 地 计算 机 的 IP 地 址 
和 正在 使 用 的 端口 号 。 如 果 不 指定 -n 参数 ， 则 显示 与 卫 地 址 和 端口 的 名 称 对 应 的 本 地 计算 机 名 称 。 如 果 
端口 还 没有 建立 的 话 ， 那 么 端口 将 以 星 号 (中 显示 。“ 外 部 地 址 ”表示 连接 该 端口 的 远程 计算 机 的 IP 地 址 和 
端口 号 。 如 果 不 指定 -n 参数 ， 则 显示 与 IP 地 址 和 端口 对 应 的 名 称 。 如 果 端 口 还 没有 建立 的 话 ， 那 么 端口 
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将 以 星 号 (中 显示 。“ 状 态 ” 表 示 已 建立 连接 的 状态 ， 通 常 包括 CLOSE WAIT、CLOSED、ESTABLISHED、 
FIN_WAIT_1、FIN_WAIT 2、LAST_ACK、LISTENING、SYN_RECEIVED、SYN_SEND 和 TIMED WAIT 几 种 类 型 。 

3. 查看 连接 的 宿主 

所 谓 连 接 的 宿主 是 指 网 络 连接 对 应 的 应 用 程序 或 服务 。 通 常情 况 下 ， 仅 赁 开放 端口 是 很 难 确认 其 安全 
与 否 的 ， 发 现 可 疑 端口 之 后 ， 首 先 要 做 的 就 是 确认 使 用 这 些 已 经 打开 的 端口 的 应 用 程序 是 哪个 ， 然 后 进 一 
步 确认 该 程序 是 否 为 系统 程序 ， 如 果 不 能 确认 ， 则 可 能 是 木马 或 其 他 非法 程序 。 

在 命令 提示 符 窗口 中 ， 输 入 如 下 命令 : 


netstat -bn 


按 Enter 键 执行 命令 ， 显 示 如 图 2-37 所 示 的 结果 。 


5Z ,188.12-18 ESTABLISHED 


2 .108 .12.18 ESTABLISHED 


188.12.187:80 


168.12.187:88 


图 2-37 显示 应 用 程序 打开 的 端口 


在 命令 执行 结果 中 ， 显 示 了 当前 活动 的 每 个 连接 都 是 由 哪些 程序 创建 的 ， 本 例 中 端口 49400、49405、 
49407 和 49414 都 是 由 iexplore.exe 程序 打开 的 ， 均 被 用 于 访问 外 网 的 Web 服务 器 。 如 果 在 结果 中 发 现 计 
算 机 打开 了 可 疑 的 端口 ， 就 可 以 使 用 该 命令 查看 它 调用 了 哪些 组 件 ， 然 后 再 检查 各 组 件 的 创建 时 间 和 修改 
时 间 ， 如 果 发 现 异 常 ， 就 可 能 是 中 了 木马 。 


2.6.4 ”通过 组 策略 配置 端口 


通过 运行 端口 查看 工具 ， 不 难 发 现 系 统 中 的 许多 端口 默认 都 是 开启 的 ， 为 了 确保 系统 和 网 络 的 安全 ， 
必须 将 可 能 存在 安全 风险 的 端口 及 时 关闭 。 在 域 环境 中 ， 管 理 员 可 以 通过 组 策略 对 客户 端 计算 机 需要 开放 
的 端口 进行 筛选 。 这 里 以 关闭 139 端口 为 例 ， 详细 描述 在 组 策略 编辑 器 中 创建 IP 安全 策略 的 步骤 ， 分 为 以 
下 几 部 分 : 

轩 “创建 组 织 单位 和 策略 。 

@ “创建 IP 筛选 器 。 

@ “创建 IP 筛选 器 操作 。 

”创建 IP 安全 规则 。 

@ “创建 IP 安全 策略 。 

指派 IP 安全 策略 。 


有 | 
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© 注意 :在 Windows 域 环境 下 创建 IPSec 策略 时 ， 必 须 使 用 具有 “组 策略 ”管理 权限 的 用 户 才 可 以 完成 。 
起 要 管理 计算 机 本 地 或 远程 IPSec 策略 ， 必 须 是 本 地 或 远程 计算 机 Administrators 组 的 成 员 。 


1. 创建 新 的 组 织 单位 和 策略 
IP 安全 策略 控制 法 主要 是 针对 客户 端 系 统 而 言 的 , 因此 实施 之 前 , 必须 确保 客户 计算 机 已 经 加 入 域 中 ， 
为 了 便于 管理 ， 建 议 将 欲 配置 的 客户 统一 添加 到 新 建 0U 中 。Windows Server 2008 中 创建 基于 0U 或 域 的 
组 策略 ， 与 Windows Server 2003 略 有 不 同 ， 所 有 的 组 策略 配置 都 是 在 “组 策略 管理 ”控制 台中 完成 的 。 
@ 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 新 建 0U 并 将 欲 配 置 的 客户 计算 机 加 入 到 该 0U， 如 
2-38 所 示 。 


图 2-38 创建 OU 


回 ”依次 选择 “开始 ”一 “管理 工具 ”一 “组 策略 管理 ”选项 ， 打 开 如 图 2-39 所 示 的 “组 策略 管理 ” 
控制 台 窗 口 。 


图 2-39 “组 策略 管理 ”窗口 
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图 右 击 需要 创建 组 策略 的 组 织 单位 , 选择 快捷 菜单 中 的 “在 这 个 域 中 创建 GPO 并 在 此 处 链接 ”命令 ， 
打开 如 图 2-40 所 示 的 “新 建 GBO” 对 话 框 ， 在 “名 称 ” 文 本 框 中 输入 新 建 GPO 的 名 称 。 


图 2-40 “新 建 GPO” 对 话 框 
图 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 组 策略 的 创建 ， 如 图 2-41 所 示 。 


图 2-41 新 创建 的 组 策略 


2. 定义 IP 筛选 器 


可 以 在 创建 策略 时 或 者 在 创建 策略 之 前 定义 筛选 器 列表 ， 已 经 创建 的 筛选 器 列表 可 用 于 任何 策略 。 每 
个 筛选 器 定义 入 站 或 出 站 网 络 通信 的 子 集 ， 即 筛选 器 操作 通过 保护 通信 人 (使 用 身份 验证 、 数 据 完整 性 或 数据 
加 密 )、 完 全 阻止 或 允许 (不 使 用 身份 验证 、 数 据 完整 性 或 数据 加 密 ] 的 方式 进行 操作 。 

@ 右 击 新 创建 的 组 策略 “IP 安全 策略 -控制 端口 ”， 选择“ 编辑 ”， 打 开 “ 组 策略 管理 编辑 器 ”窗口 。 
依次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “IP 安全 策略 ， 在 Active 
Directory(coolpen.neb ”， 如 图 2-42 所 示 。 

回 右 击 “IP 安全 策略 ， 在 Active Directory(coolpen.net)”， 选 择 快捷 菜单 中 的 “管理 IP 筛选 器 表 和 
筛选 器 操作 ”命令 ， 打 开 如 图 2-43 所 示 的 “管理 IP 筛选 器 表 和 筛选 器 操作 ”对 话 框 。 

@ ”在 默认 显示 的 “管理 IP 筛选 器 列表 ”选项 卡 中 ， 单 击 “添加 ”按钮 ， 显 示 如 图 2-44 所 示 的 “IP 
筛选 器 列表 ”对 话 框 。 在 “名 称 ” 文 本 框 中 ， 输 入 容易 记忆 的 筛选 器 名 称 ， 便 于 与 其 他 IP 筛选 器 
区 别 , 如 “TCP 139”。 在 “描述 ”文本 框 中 ,输入 相关 的 描述 信息 ， 可 以 方便 日 后 的 应 用 和 管理 。 

@ 单 击 “ 添 加 ”按钮 ， 打 开 “IP 筛选 器 向 导 ”， 显 示 如 图 2-45 所 示 的 “IP 筛选 器 向 导 ” 对 话 框 。 


[741 


第 2 章 Windows Server 2008 系统 加 固 


加 
团 图 图 困 ” 团 固 团 田 田 田 因 田 田 邯 和) 对 


图 2-42 “组 策略 管理 编辑 器 ”窗口 


图 2-43 “管理 IP 第 选 器 表 和 筛选 器 操作 ”对 话 框 图 2-44 “IP 筛选 器 列表 ”对 话 框 


回 单 击 “下 一 步 ” 按 钮 ， 显 示 如 图 2-46 所 示 的 “IP 筛选 器 描述 和 镜像 属性 ”界面 。 默 认 情 况 下 ， 
已 经 选中 “镜像 ” 复 选 框 ， 此 时 将 根据 筛选 器 设置 自动 创建 两 个 筛选 器 ， 一 个 用 于 到 目标 的 通信 ， 
一 个 用 于 来 自 目标 的 通信 。 如 果 取消 选中 “镜像 ” 复 选 框 ， 则 将 先 创建 基于 筛选 器 设置 的 单一 得 
选 器 。 

出 提示: 在 取消 选中 “镜像 ” 复 选 框 的 情况 下 ， 进 行 隧道 操作 时 ， 必 须 手 动 创建 下 面 两 个 第 选 器 列表 。 其 


中 ， 一 个 列表 描述 通过 隧道 发 出 的 通信 (出 站 通信 )， 另 一 个 列表 描述 通过 隧道 接收 的 通信 (入 站 通信 )。 然 
后 ， 创 建 两 个 规则 ， 这 些 规则 使 用 策略 中 的 入 站 与 出 站 簿 选 器 列表 .。 
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欢迎 使 用 IP 筛选 嚣 向导 


此 向 号 者 助 人 提供 迄 先 匡 流 蛙 委 要 的 源 、 目标 和 通信 


a 


图 2-45 “IP 筛选 器 向 导 ” 对 话 框 图 2-46 “IP 筛选 器 描述 和 镜像 属性 ”界面 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-47 所 示 的 “IP 流量 源 ” 界 面 。 在 “ 源 地 址 ”下 拉 列 表 框 中 选 
择 “ 任 何 I 了 P 地 址 ”选项 。“ 源 地 址 ”下 拉 列 表 中 共 包 括 “ 我 的 全 地址”、“ 任 何 他 地 址 ”、“ 一 
个 特定 的 IP 地 址 或 子 网 ”、“DNS 服务 器 (动态 ])”、“WINS 服务 器 (动态 ]”、“DHCP 服务 器 ( 动 
态 ]) 和 默认 网 关 ( 动 态 ] ”等 选项 。 

加 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-48 所 示 的 “IP 流量 目标 ”界面 ， 在 “目标 地 址 ”下 拉 列 表 框 中 

选择 “我 的 IP 地 址 ”选项 。 


和 癌 


图 2-47 “IP 流量 源 ”界面 图 2-48 “IP 流量 目标 ”界面 


单 击 “下 一 步 ” 按 钮 ， 显 示 如 图 2-49 所 示 的 “IP 协议 类 型 ”界面 ， 在 “选择 协议 类 型 ”下 拉 列 
表 框 中 ， 选 择 TCP 选项 。 

“选择 协议 类 型 ”的 策略 如 下 : 

时 如果 选 择 TCP 或 UDP， 则 还 可 以 通过 目标 端口 筛选 数据 包 。 

时。 如果 要 筛选 从 选 定 协议 类 型 所 用 的 任意 端口 上 发 送 的 数据 包 ， 可 选择 “从 任意 端口 ”选项 。 

时 ”如 果 要 筛选 从 选 定 协议 类 型 所 用 的 特定 端口 上 发 送 的 数据 包 ， 可 选择 “从 此 端口 ”选项 ， 然 后 输 
入 端口 号 。 

时 “如果 要 筛选 从 选 定 协议 类 型 所 用 的 任意 端口 上 接收 的 数据 包 ， 可 选择 “到 任意 端口 ”选项 。 

于 “如果 只 筛选 在 指定 的 端口 号 上 接收 的 数据 包 ， 可 选择 “到 此 端口 ”项 。 
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© 注意 : 对 于 IPSec 隧道 ， 只 支持 基于 地 址 的 筛选 器 ， 而 不 支持 特定 协议 和 特定 端口 的 第 选 器 。 


回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-50 所 示 的 “IP 协议 端口 ”界面 ， 分 别 选择 “从 任意 端口 ”和 
“到 此 端口 ” 单 选 按 钮 ， 并 在 “到 此 端口 ”文本 框 中 输入 端口 号 “139”。 


IP 车 和 加 向 导 | | 
J? 协议 类 型 亚 协议 庙 口 
尘世 协议 型。 如 果 类 型 是 1cP 或 nF， 您 竺 二 定 尖 和 目标 并 许多 ICP/IP 应 用 程序 协议 建立 在 党 用 的 TCP 或 DP 庙 D 上 。 
选择 协议 类 型 ): 设置 了 ? 协议 湛 口 : 
到 个 从 任意 端口 F) 
- 下 从 山洞 四: 
F 习 fase 
个 到 任意 端口 ) 
© 到 此 庙 口 四 ): 
fa 
《上 - 步 中 取 肖 < 上 -9) 取消 
图 2-49 “IP 协议 类 型 ”界面 图 2-50 “IP 协议 端口 ”界面 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-51 所 示 的 “正在 完成 IP 筛选 器 向 导 ” 界 面 ， 如 果 同 时 选中 “ 编 
辑 属 性 ” 复 选 杠 ， 则 单 击 “ 完 成 ”按钮 后 即 可 立即 编辑 该 IP 筛选 器 。 

四 单 击 “完成 ”按钮 ， 显 示 如 图 2-52 所 示 的 “IP 筛选 器 列表 ”对 话 框 ， 新 创建 的 筛选 器 已 经 显示 
在 列表 中 。 


划 于 
正在 完成 IP 筛选 器 向 导 至 EE 寺 有 ER 这 样 ， 允 个 子 网 、IF 地 址 和 协议 可 被 
您 已 成 功 地 完成 IF 第 选 器 向 导 。 种 一 一 = 
后 和 i 
J wt | 


厂 编辑 属性 中) II 簿 进 器 GE): 厅 使 用 添加 向 导 f) 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


sm | 出 
2-51 “正在 完成 IP 筛选 器 向 导 ” 界 面 图 2-52 成 功 创建 的 IP 筛选 器 


© 注意 : 对 于 受 IPSec 策略 保护 的 计算 机 而 言 ， 筛 选 器 是 人 P 安全 策略 的 重要 组 成 部 分 。 如 果 不 在 客户 机 或 
服务 器 策略 中 指定 适当 的 筛选 器 ， 或 者 如 果 在 更 新 该 策略 的 筛选 器 之 前 外 地 址 已 经 更 改 ， 则 可 能 无 法 提 
供 安 全 保护 。 另 外， 建议 不 要 在 IPSec 筛选 器 中 使 用 DHCP 分 配 的 耳 地 址 . 对 于 由 使 用 DHCP 地 址 的 计 
算 机 所 使 用 的 策略 ， 应 使 用 “我 的 IP 地址 ”作为 源 地 址 或 目标 地 址 。 这样 ， 即 使 计算 机 IP 地 址 更 改 ， 系 
统 也 会 自动 更 新 “我 的 IP 地 址 ”筛选 器 。 最 后 ， 在 IPSec 保护 通信 的 计算 机 策略 中 ， 确 保 目标 计算 机 的 
筛选 器 目标 地 址 是 静态 P 地 址 ， 所 有 目标 卫 地 址 必须 包含 在 筛选 器 列表 中 。 


| 


© 


将 新 的 静态 IP 地 址 添加 到 受 安全 策略 保护 的 计算 机 中 时 : 
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应 修改 对 受 保护 的 计算 机 进行 安全 保护 的 所 有 客户 机 和 服务 器 上 的 IPSec 策略 筛选 器 ， 在 添加 新 
地 址 之 前 ， 应 确保 这 些 客户 机 已 经 更 新 其 策略 。 

检查 将 在 受 保护 的 计算 机 上 使 用 的 策略 。 如 果 筛 选 器 为 本 地 连接 指定 静态 IP 地 址 ， 则 在 向 其 接口 
添加 新 的 IP 地 址 后 ， 应 编辑 并 保存 新 的 筛选 器 列表 ， 并 保证 新 的 静态 IP 地 址 包含 在 其 中 。 需 要 
注意 的 是 ， 在 添加 新 的 静态 IP 地 址 时 ，“ 我 的 IP 地 址 ”筛选 器 将 自动 更 新 ， 而 不 用 用 户 青 进行 
手动 更 新 。 


如 果 受 保护 的 计算 机 是 WWW 服务 器 ， 并 且 客 户 机 使 用 的 是 代理 服务 器 ， 则 应 确保 网 络 上 所 有 的 通信 
都 受 IPSec 保护 : 


WWW 服务 器 和 所 有 直接 连接 的 客户 端 之 间 的 通信 。 
WWW 服务 器 和 代理 服务 器 之 间 的 通信 。 
代理 服务 器 及 其 所 有 客户 机 之 间 的 通信 。 


下 列 的 筛选 器 ， 被 默认 设置 为 允许 (不 保护 ) 通 信 : 


Internet 密 钥 交换 (IKE)。 源 地 址 = 任意 , 目标 地 址 = 任意 , 协议 =UDP, 源 端口 =500, 目标 端口 =500。 
IP 多 播 通信 。 

IP 广播 通信 。 

KerberosV5。 源 地 址 = 任意 ， 目 标 地 址 = 任意 ， 协 议 =UDP 或 TCP， 源 端口 =88， 目 标 端口 =88。 
资源 保留 协议 (RSVP) 源 地 址 = 任意 ， 目 标 地 址 = 任意 ， 协 议 =46。 


© 注意 ， 如 果 出 站 数据 包 与 任何 第 选 器 都 不 匹配 ， 则 系统 会 在 没有 保护 的 状态 下 发 送 数 据 包 。 如 果 入 站 数 


据 包 与 任何 第 选 器 都 不 匹配 ， 则 所 有 数据 包 都 将 无 法 进入 。 另 外， 在 创建 第 选 器 时 ， 使 用 “一 个 特定 的 
DNS 名 称 ”选项 ， 并 通过 将 DNS 名 称 解 析 成 IP 地 址 ， 这 样 便 可 创建 基于 IP 地 址 的 筛选 器 。 在 创建 第 选 
器 时 ， 如 果 使 用 计算 机 名 将 多 个 DNS 名 称 一 次 解析 为 多 个 IP 地 址 ， 则 在 创建 第 选 器 之 后 便 不 再 使 用 该 
计算 机 名 。 


3. 定义 IP 筛选 器 操作 

筛选 器 操作 主要 用 于 定义 数据 传输 的 安全 需求 ， 即 对 于 符合 筛选 器 条 件 的 传输 进行 哪些 处 理 ， 放 行 、 
阻止 还 是 协商 安全 等 。 

@ 在 “管理 IP 筛选 器 表 和 筛选 器 操作 ”对 话 框 中 ， 切 换 至 如 图 2-53 所 示 的 “管理 筛选 器 操作 ” 选 


项 卡 。 


加 单 击 “ 添 加 ”按钮 ， 启 动 “ 筛 选 器 操作 向 导 ”， 显 示 如 图 2-54 所 示 的 “筛选 器 操作 向 导 ” 对 话 框 。 


@ 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-55 所 示 的 “筛选 器 操作 名 称 ” 界 面 。 在 “名 称 ”文本 框 中 输入 
“拒绝 访问 139 端口 ”。 在 “描述 ”文本 框 中 ， 输 入 该 筛选 器 的 描述 ， 例 如 这 里 输入 “拒绝 访问 
139 端口 ”。 


图 单 击 “ 下 一 步 ” 按钮， 显示 如 图 2-56 所 示 的 “筛选 器 操作 常规 选项 ”界面 ， 这 里 定义 IPSec 策略 


的 目的 是 关闭 139 端口 ， 即 拒绝 其 他 主机 对 本 地 系统 139 端口 的 访问 ， 所 以 应 选择 “阻止 ” 单 选 
按钮 。 
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欢迎 使 用 IP 安全 筛选 器 操作 向 导 


EF 
Request Security (Dptional) Accepts unsecured commanic 
Require Security Aeceepts unsecured comaunic. 


图 2-53 “管理 筛选 器 操作 ”选项 卡 图 2-54 “筛选 器 操作 向 导 ” 对 话 框 


图 2-55 “筛选 器 操作 名 称 ” 界 面 图 2-56 “筛选 器 操作 常规 选项 ”界面 


筛选 器 操作 类 型 具体 内 容 如 下 。 

里 许可: 允许 以 纯 文本 方式 接收 或 发 送 数据 包 ， 不 要 求 对 这 些 数据 包 提供 安全 保护 措施 。 

”阻止 : 丢弃 数据 包 。 不 要 求 对 这 些 数据 包 提供 安全 措施 。 

里 ”协商 安全 : 可 使 用 “安全 措施 首选 顺序 ”中 的 安全 措施 列表 为 数据 包 提供 安全 性 ， 这 些 数据 包 的 
安全 请 求 将 被 接受 。 

图 单 击 “ 下 一 步 ” 按钮， 显示 如 图 2-57 所 示 的 “正在 完成 IP 安全 筛选 器 操作 向 导 ” 界 面 。 选 中 “ 编 
辑 属性 ” 复 选 框 并 单 击 “ 完 成 ”按钮 ， 则 可 以 立即 编辑 该 筛选 器 操作 。 

单 击 “ 完 成 ” 按钮， 即 可 完成 筛选 器 操作 的 创建 。 另 外 ， 如 果 不 希 望 完 全 阻止 来 自 其 他 主机 的 139 
端口 访问 ， 即 希望 允许 与 其 他 不 支持 IPSec 的 计算 机 通信 ， 则 可 以 在 “管理 IP 筛选 器 表 和 筛选 器 
操作 ”对 话 框 的 “管理 筛选 器 操作 ”选项 卡 中 ， 选 择 刚刚 创建 的 “拒绝 访问 139 端口 ”筛选 器 操 
作 ， 并 单 击 “ 编 辑 ”按钮 ， 打 开 如 图 2-58 所 示 的 “拒绝 访问 139 端口 属性 ”对 话 框 。 选 择 “ 协 
商 安全 ” 单 选 按钮 ， 并 根据 需要 选择 合适 的 协商 条 件 即 可 。 


E79: 


四 ED 


EDIEETIE3 xl 


正在 完成 IP 安全 筛选 器 操作 向 导 


您 已 成 功 完成 了 匡 安全 租 先 器 操作 问 导 。 
Sr wr mene ms 
厂 编辑 属性 F) 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


ts] a | 
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图 2-57 “正在 完成 IP 安全 短 选 器 操作 向 导 ” 界 面 图 2-58 “拒绝 访问 139 端口 属性 ”对 话 框 
于。 接受 不 安全 的 通讯 ， 但 始终 用 IPSec 响应 。IPSec 允许 与 不 安全 (未 受 IPSec 保护 ] 配 置 的 筛选 器 列 


表 相 匹配 的 传 入 数据 包 。 但 是 ， 必 须 对 传 入 数据 包 的 传 出 响应 提供 保护 。 将 默认 响应 规则 用 于 客 
户 端 时 ， 该 设置 十 分 有 用 。 将 一 组 服务 器 用 以 下 规则 进行 配置 : 该 规则 能 够 保护 与 任何 IP 地 址 
的 通信 并 能 接受 不 安全 通信 ， 同 时 只 用 安全 通信 进行 响应 ， 并 在 客户 端 计算 机 上 启用 默认 响应 规 
则 以 确保 客户 端 能 够 响应 服务 器 的 协商 安全 请 求 。 若 要 阻止 拒绝 服务 攻击 , 应 当 对 连接 到 Internet 
的 安全 计算 机 禁用 此 选项 。 

如 果 无 法 建立 安全 连接 ， 则 允许 回 退 到 不 安全 的 通信 。 如 有 必要 ，IPSec 将 回 退 到 不 安全 的 通信 。 
应 当 再 次 将 IP 筛选 器 列表 限制 在 更 小 范围 内 。 和 否则， 当 协 商 失败 时 ， 运 用 该 筛选 器 的 规则 将 会 使 
不 安全 连接 发 送 数据 。 如 果 环 境 对 通信 安全 要 求 不 高 ， 则 可 以 考虑 禁用 该 设置 。 然 而 ， 这 样 可 能 
会 阻止 与 无 法 启动 IPSec 保护 计算 机 的 通信 。 若 要 阻止 拒绝 服务 攻击 ， 应 当 对 连接 到 Internet 的 
安全 计算 机 禁用 此 选项 。 

使 用 会 话 密 钥 完 全 向 前 保密 (PFS)。 启用 会 话 密 钥 PFS 可 以 确保 无 法 使 用 主 密 钥 密 钥 资料 以 派生 多 
个 会 话 密 钥 。 启用 会 话 密 钥 PFS 时 , 会 执行 新 的 Diffie-Hellman( 一 种 公开 密 钥 交换 算法 ] 密 钥 交 换 ， 
以 便 在 创建 新 的 会 话 密 钥 前 生成 新 的 主 密 钥 密 钥 材料 。 会 话 密 钥 PFS 不 需要 重新 进行 主 模式 身份 
验证 ， 并 且 使 用 的 资源 比 主 密 钥 PFS 更 少 。 

在 “安全 方法 首选 顺序 ”列表 中 ， 可 以 设置 筛选 操作 使 用 方法 的 先后 顺序 ， 默 认 是 空白 的 。 通 常 
情况 下 ， 应 当 按 照 从 最 高 安全 性 到 最 低 安全 性 的 顺序 排列 列表 中 的 方法 ， 这 样 可 使 用 最 安全 的 方 
法 。 单 击 “ 添 加 ”按钮 ， 打 开 如 图 2-59 所 示 的 “新 增 安全 方法 ”对 话 框 。 


可 供用 户 选择 的 安全 方法 包括 如 下 内 容 。 


完整 性 和 加 密 。 使 用 ESP 协议 可 提供 具有 “三 重 数 据 加 密 标准 (3DES)” 算 法 的 数据 加 密 、 具有“ 安 
全 散 列 算法 1(SHA1)” 完 整 性 算法 的 数据 完整 性 和 身份 验证 ， 以 及 默认 密 钥 寿 命 [100 MB，1 h)。 
仅 保持 完整 性 。 使 用 ESP 协议 可 以 提供 数据 完整 性 和 身份 验证 (具有 SHA1 完整 性 算法 ) 与 默认 密 
钥 寿 命 (100 MB，1 h)。 配 置 ESP 不 提供 数据 加 密 。 

自 定 义 。 单 击 “ 设 置 ”可 配置 自 定义 安全 措施 或 密 钥 寿 命 。 

选择 “ 自 定义 ” 单 选 按钮 并 单 击 “ 设 置 ”按钮 ， 显 示 如 图 2-60 所 示 的 “ 自 定义 安全 方法 设置 ”对 
话 框 。 
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图 2-59 “新 增 安全 方法 ”对 话 框 图 2-60 “ 自 定义 安全 方法 设置 ”对 话 框 


若 想 要 保障 数据 包 寻 址 信息 (IP 报头 ) 和 数据 的 完整 性 ， 可 选中 “数据 和 地 址 不 加 密 的 完整 性 (AH)” 复 
选 框 。 然 后 ， 在 “完整 性 算法 ”下 拉 列 表 中 ， 选 择 要 用 于 数据 完整 性 的 算法 。 其 中 ， 各 种 加 密 算法 的 具体 
含义 如 下 。 

”MD5: 使 用 “消息 摘要 5(MD5)” 完 整 性 算法 ， 该 算法 使 用 的 是 128 位 的 密 钥 。 

”SHA1: 使 用 “安全 散 列 算法 1” 完 整 性 算法 ， 该 算法 使 用 的 是 160 位 的 密 钥 。 

要 为 数据 提供 完整 性 和 加 密 (保密 性 )， 选 择 “ 数 据 完整 性 和 加 密 (ESP)” 复 选 框 ， 此 时 还 应 在 “完整 性 
算法 ”下 拉 列 表 中 ， 选 择 数 据 完整 性 算法 和 加 密 算法 。 其 中 ， 各 种 完整 性 验证 算法 的 具体 含义 如 下 。 

里 。 < 无 >: 不 使 用 数据 完整 性 。 如 果 已 启用 了 “AH”， 则 可 选择 ESP 完整 性 算法 的 “无 ”， 以 提高 计 

算 机 的 各 项 性 能 。 

mm ”MD5: 使 用 MD5 完整 性 算法 ， 该 算法 使 用 的 是 128 位 的 密 钥 。 

“SHA1: 使 用 SHAL 完整 性 算法 ， 该 算法 使 用 的 是 160 位 的 密 钥 。 

配合 使 用 的 各 种 加 密 算 法 的 具体 含义 如 下 。 
< 无 >: 不 使 用 加 密 。 

DES: 使 用 56 位 密 钥 的 “数据 加 密 标准 (DES)”。 

3DES: 使 用 3 个 56 位 密 钥 的 三 重 “ 数 据 加 密 标准 ”。 

连续 单 击 “确定 ”按钮 ， 保 存 设置 即 可 。 其 实 ， 第 6 步 之 后 的 操作 都 是 为 实现 与 未 受 安全 策略 保 

护 的 计算 机 的 通信 而 设置 的 ， 管 理 员 可 以 根据 实际 需要 选择 设置 。 

4. 创建 IP 安全 策略 

做 好 上 述 准备 工作 之 后 ， 即 可 开始 创建 IP 安全 策略 。 

@ 在 “组 策略 管理 编辑 器 ”窗口 中 ， 右 击 “IP 安全 策略 ， 在 Active Directory(coolpen.net) ”选项 ， 
选择 快捷 菜单 中 的 “创建 IP 安全 策略 ”选项 启动 “IP 安全 策略 向 导 ”， 显 示 如 图 2-61 所 示 的 “IP 
安全 策略 向 导 ” 对 话 框 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-62 所 示 的 “IP 安全 策略 名 称 ” 界 面 ， 在 “名 称 ” 和 “描述 ” 
文本 框 中 ， 分 别 输入 便于 区 分 的 策略 名 称 ， 如 “拒绝 访问 139 端口 ”等 。 

图 单 击 “ 下 一 步 ” 按钮, 显示 如 图 2-63 所 示 的 “安全 通讯 请 求 ”界面 ， 保 持 系 统 默认 设置 即 可 。“ 激 
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活 默 认 响 应 规则 ( 仅 限 于 Windows 的 早期 版 本 ](R] ” 复 选 框 仅 对 较 早 版 本 的 Windows 系统 有 效 ， 
对 于 Windows Vista/2008 系统 无 效 。 


?安全 第 四 名 称 
欢迎 使 用 IP 安全 策略 向 导 命名 这 个 他 安全 清史 并 且 给 出 一 个 入 和 的 指 述 
EL 
a EE 
使 用 > 0): 
问 139 端口 | 二 


要 继续 ， 请 单 击 “ 下 一 步 ”* 


un | 


| 


图 2-61 “IP 安全 策略 向 导 ” 对 话 框 图 2-62 “IP 安全 策略 名 称 ” 界 面 
@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 2-64 所 示 的 “正在 完成 IP 安全 策略 向 导 ” 界 面 ， 取 消 “ 编 辑 属 
性 ” 复 选 框 ， 具 体 的 策略 属性 将 在 “设置 IP 安全 规则 ”中 完成 。 
正在 完成 IP 安全 策略 向 导 


您 已 成 功 地 过 成 指定 您 的 新 I 安全 策略 的 属性 * 


于 安全 第 略 ， 请 选择 “编辑 属性 ” 然 


厅 编辑 属性 ) 


人 二 Windows Wists 上 无 效 。 它 仅 在 核 早 版 本 的 Windows 


厂 激活 点 认 响应 规则 ( 仅 限于 Windevs 的 早期 版 本) BR)。 


请 单 击 “ 完 成 ”来 关闭 此 向导 * 


一 | 


Eso] a | 


图 2-63 “安全 通讯 请 求 ”界面 图 2-64 “正在 完成 IP 安全 策略 向 导 ” 界 面 


回 单 击 “ 完 成 ”按钮 ， 关 闭 “IP 安全 策略 向 导 ” 对 话 框 ， 创 建 完成 的 “IP 安全 策略 ”显示 在 “组 策 
略 管理 编辑 器 ”窗口 中 。 

5. 设置 IP 安全 规则 

管理 员 在 设置 IP 安全 规则 时 ， 应 注意 以 下 事项 : 

”要 定义 基于 Active Directory 的 IPSec 策略 ， 必 须 具 有 “组 策略 ”管理 权限 。 要 管理 计算 机 的 本 地 
或 远程 IPSec 策略 ， 必 须 是 本 地 或 远程 计算 机 Administrators 组 的 成 员 。 

于 ”成 功 添加 的 新 规则 将 自动 应 用 于 正在 创建 或 编辑 的 策略 。 在 “IP 安全 策略 ”中 ， 策 略 规则 基于 为 
每 一 条 规则 选择 的 筛选 器 列表 的 名 称 以 相反 的 字母 顺序 显示 。 需 要 注意 的 是 ， 目 前 还 没有 方法 能 
够 指定 应 用 于 策略 中 规则 的 顺序 .IPSec 会 根据 从 最 具体 的 筛选 器 列表 到 最 不 具体 的 筛选 器 列表 进 
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行 自动 排序 。 

时。 自动 在 每 个 新 的 IPSec 策略 中 , 添加 (并 在 选择 后 激活 ] 默 认 响 应 规则 。 如果 不 希望 此 规则 成 为 的 策 
略 的 一 部 分 ， 可 通过 取消 “动态 ” 复 选 框 停 用 该 规则 ， 默 认 响 应 规则 不 能 删除 。 

Q@ 在 “组 策略 管理 编辑 器 ”窗口 中 ， 双 击 需要 设置 安全 规则 的 IP 安全 策略 ， 显 示 如 图 2-65 所 示 的 
“拒绝 访问 139 端口 属性 ”对 话 框 。 

回 单 击 “ 添 加 ”按钮 ， 打 开 “ 安 全 规则 向 导 ”， 显 示 如 图 2-66 所 示 的 “安全 规则 向 导 ” 对 话 框 。 将 
要 设置 的 安全 操作 包括 IP 隧道 操作 属性 、 身 份 验证 方法 和 筛选 器 操作 。 
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ae 欢迎 使 用 创建 TP 安全 规则 向 导 
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口 
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1 划 
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图 2-65 “拒绝 访问 139 端口 属性 ”对 话 框 图 2-66 “安全 规则 向 导 ” 对 话 框 
@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-67 所 示 的 “隧道 终结 点 ”界面 选择“ 此 规则 不 指定 隧道 ” 单 
选 按钮 ， 即 可 禁用 该 规则 的 隧道 。 如 果 想 对 特定 隧道 终结 点 使 用 隧道 通信 ， 则 选择 “隧道 终结 点 
由 下 列 IP 地 址 指定 ” 单 选 按钮 ， 并 输入 隧道 终点 的 IP 地 址 。 


© 注意 ， 因 为 无 法 为 隧道 通信 镜像 第 选 器 ， 所 以 必须 配置 两 个 规则 ， 一 个 规则 用 于 出 站 通信 ， 另 一 个 规则 
用 于 进 站 通信 。 对 于 出 站 通信 规则 ， 隧 道 终点 是 在 隧道 另 一 端的 计算 机 的 IP 地 址 。 对 于 进 站 通信 规则 ， 
隧道 终点 是 本 地 计算 机 上 所 配置 的 IP 地 址 。 


图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 2-68 所 示 的 “网 络 类 型 ”界面 ， 选 择 “ 所 有 网 络 连接 ” 单 选 按钮 。 
可 供 选 择 的 “网 络 类 型 ”包括 以 下 内 容 。 

所 有 网 络 连接 : 可 以 将 此 规则 应 用 到 在 该 计算 机 中 创建 的 所 有 网 络 连接 。 

局 域 网 ILAN]: 单 选 按钮 ， 可 以 将 此 规则 应 用 到 在 该 计算 机 中 创建 的 所 有 LAN 连接 。 

远程 访问 : 可 以 将 此 规则 应 用 到 在 该 计算 机 中 创建 的 所 有 远程 或 拨号 连接 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-69 所 示 的 “IP 筛选 器 列表 ”界面 ， 选 择 新 创建 的 “TCP139” 
筛选 器 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 2-70 所 示 的 “筛选 器 操作 ”界面 ， 选 择 已 经 创建 好 的 “拒绝 访问 
139 端口 ”筛选 器 即 可 。 如 果 在 此 之 前 没有 创建 IP 筛选 器 ， 也 可 以 单 击 “ 添 加 ”按钮 立刻 添加 。 
单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 2-71 所 示 的 “正在 完成 安全 规则 向 导 ” 界 面 ， 取 消 选 中 “编辑 属 
性 ” 复 选 框 。 


ee@ @""" 
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图 2-67 “隧道 终结 点 ”界面 图 2-68 “网 络 类 型 ”界面 


图 2-69 “IP 筛选 器 列表 ”界面 图 2-70 “筛选 器 操作 ”界面 


单 击 “ 完 成 ”按钮 ， 关 闭 “ 安 全 规则 向 导 ” 对 话 框 ， 返 回 “ 拒 绝 访问 139 端口 属性 ”对 话 框 ， 
如 图 2-72 所 示 ， 新 创建 的 安全 规则 已 被 添加 到 “IP 安全 规则 ”列表 中 。 


6. 分 配 IP 安全 策略 


默认 情况 下 ， 所 有 的 IP 安全 策略 都 是 未 分 配 的 ， 即 不 对 任何 网 络 访问 进行 保护 和 过 滤 。 在 “组 策略 管 
理 编辑 器 ”窗口 的 “IP 安全 策略 ， 在 Active Directory(coolpen.net)” 中 ， 右 击 想 要 分 配 的 IP 安全 策略 ， 并 
选择 快捷 菜单 中 的 “分 配 ” 命令， 如 图 2-73 所 示 。 稍 后 ， 该 策略 的 “策略 已 指派 ” 栏 即 可 变 为 “是 ”状态 ， 
分 配 成 功 。 


© 注意 ， 当 分 配 新 的 安全 策略 时 ， 原 有 已 分 配 策略 将 自动 取消 ， 变 为 “未 分 配 ” 状态 。 
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图 2-71 “正在 完成 安全 规则 向 导 ” 界 面 图 2-72 成 功 创建 的 IP 安全 规则 
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图 2.73 分 配 IP 安全 策略 
2.7 系统 漏洞 安全 


对 于 Windows 操作 系统 而 言 ， 系 统 漏洞 是 无 法 避免 的 ， 新 版 操作 系统 弥补 旧版 本 中 漏洞 的 同时 ,还 会 
引入 一 些 新 的 漏洞 。 应 对 系统 漏洞 最 有 效 的 方法 就 是 指定 详细 的 修补 策略 ， 及 时 发 现 并 弥补 漏洞 。 漏 洞 除 
了 系统 (硬件 、 软 件 ) 本 身 固有 的 缺陷 之 外 ， 还 包括 用 户 的 不 正当 配置 、 管 理 、 制 度 上 的 风险 ， 或 者 其 他 非 
技术 性 因素 造成 的 系统 不 安全 性 。 


2.7.1 漏洞 的 特性 
通常 情况 下 ， 普 通用 户 都 是 在 产品 供应 商 公布 产品 漏洞 后 ， 才 得 知 漏洞 消息 的 。 从 信息 安全 的 角度 看 ， 
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是 先 有 漏洞 和 对 漏洞 的 攻击 的 可 能 性 ， 然 后 才 会 有 补丁 。 漏 洞 是 攻击 者 所 要 攻击 的 目标 ， 而 安装 补丁 是 对 
漏洞 的 修补 过 程 。 漏 洞 是 广泛 存在 的 ， 不 同 的 设备 、 操 作 系统 、 应 用 系统 都 会 存在 安全 漏洞 。 


1. 漏洞 的 时 间 局 限 性 


任何 系统 漏洞 都 是 在 用 户 的 不 断 使 用 过 程 中 被 发 现 的 ， 系 统 供应 商 随 之 采取 新 版 本 替代 ， 或 者 发 布 补 
丁 程序 等 方式 弥补 漏洞 。 但 随 着 旧 漏 洞 的 消失 ， 新 环境 下 的 新 漏洞 也 将 随时 产生 。 因 此 ， 系 统 漏洞 只 是 存 
在 于 特定 时 间 和 环境 下 的 ， 即 只 能 针对 目标 系统 的 系统 版 本 、 其 上 运行 的 软件 版 本 ， 以 及 服务 运行 设置 等 


2. 漏洞 的 广泛 性 


漏洞 会 影响 到 很 大 范围 的 软 、 硬 件 设备 ， 包 括 操作 系统 本 身 及 其 支撑 软件 平台 、 网 络 客户 端 和 服务 器 
软件 、 网 络 路 由 器 和 安全 防火 墙 等 。 换 言 之 ， 在 这 些 不 同 的 软 硬 件 设备 中 ， 都 有 可 能 存在 不 同 的 系统 漏洞 
问题 。 例 如 ， 在 不 同 种 类 的 软 、 硬 件 设备 之 间 ， 同 种 设备 的 不 同 版 本 之 间 ， 由 不 同 设备 构成 的 不 同系 统 之 
间 ， 以 及 同 种 系统 在 不 同 的 设置 条 件 下 ， 都 会 存在 各 自 不 同 的 安全 漏洞 。 

3. 漏洞 的 隐蔽 性 

安全 漏洞 是 最 常见 的 系统 漏洞 类 型 之 一 。 入 侵 者 借助 于 这 些 漏洞 ， 可 以 绕 过 系统 中 的 许多 安全 配置 
从 而 实现 入 侵 系 统 的 目的 。 安 全 漏洞 的 出 现 ， 是 因为 在 对 安全 协议 的 具体 实现 中 发 生 了 错误 ， 是 意外 出 现 
的 非 正 常情 况 。 而 在 实际 的 系统 中 ， 都 会 不 同 程度 地 存在 各 种 潜在 错误 。 因 而 所 有 系统 中 都 存在 安全 漏洞 
无 论 这 些 漏洞 是 否 已 被 发 现 ， 也 无 论 该 系统 的 安全 级 别 如 何 。 在 一 定 程度 上 ， 安 全 漏洞 问题 是 独立 于 系统 
本 身 的 理论 安全 级 别 而 存在 的 。 也 就 是 说 ， 并 不 是 系统 所 属 的 安全 级 别 越 高 ， 系 统 中 所 存在 的 漏洞 就 越 少 。 

4. 漏洞 的 被 发 现 性 

漏洞 是 特定 环境 和 时 间 内 的 必然 产物 ， 但 必须 发 现 后 ， 才 会 被 用 来 入 侵 系 统 或 被 弥补 。 在 实际 使 用 中 ， 
用 户 会 发 现 系 统 中 存在 错误 。 入 侵 者 会 有 意 利用 其 中 的 某 些 错误 ， 并 使 其 成 为 威胁 系统 安全 的 工具 ， 这 时 
用 户 才 会 认识 到 这 个 错误 是 一 个 系统 安全 漏洞 。 系 统 供应 商会 尽快 发 布 针 对 这 个 漏洞 的 补丁 程序 ， 纠 正 这 
个 错误 。 这 就 是 系统 安全 漏洞 从 被 发 现 到 被 纠正 的 一 般 过 程 。 


2.7.2 漏洞 生命 周期 


漏洞 所 造成 的 安全 问题 具备 一 定 的 时 效 性 ， 也 就 是 说 每 一 个 漏洞 都 存在 一 个 和 产品 类 似 的 生命 周期 的 
概念 。 只 有 对 漏洞 生命 周期 的 概念 进行 研究 并 且 分 析出 一 定 的 规律 ， 才 能 达到 真正 解决 漏洞 危害 的 目的 。 

漏洞 生命 周期 的 定义 : 漏洞 从 客观 存在 到 被 发 现 、 利 用 ， 到 大 规模 危害 和 逐渐 消失 ， 这 期 间 存在 一 个 
生命 周期 ， 该 周期 被 称 为 漏洞 生命 周期 。 

以 “冲击 波 (MSBlaster) ”蠕虫 病毒 为 例 ， 漏 洞 生命 周期 包括 如 下 5 个 基本 阶段 。 

(GD 发 现 漏洞 

2003 年 7 月 16 日 , 微软 公司 公布 了 MS03-026 Microsoft Windows DCOM RPC 接口 远程 缓冲 区 溢出 漏 
洞 ， 该 漏洞 影响 Windows 2000、Windows XP、Windows Server 2003 系统 。 

(2] 弥补 漏洞 

2003 年 7 月 16 日 ， 微 软 公司 公布 了 MS03-026 补丁 用 于 修补 该 漏洞 。 然而， 在 微软 公布 该 漏洞 后 ， 
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网 络 上 仍 有 零星 的 恶意 攻击 者 利用 该 漏洞 进行 入 侵 。 

(3] 利用 漏洞 的 病毒 大 肆 爆 发 

2003 年 8 月 11 日 ， 爆 发 了 利用 上 述 Windows 漏洞 的 “冲击 波 ”蠕虫 病毒 。 

(和 9 病毒 出 现 变种 

2003 年 8 月 18 日 ， 出 现 了 一 个 利用 同样 原理 进行 蔓延 的 “冲击 波 清除 者 ”病毒 ， 该 蠕虫 专门 清除 原 
来 的 冲击 波 病毒 ， 然 而 这 个 病毒 却 消耗 了 大 量 的 Internet 带宽 ， 导 致 互联 网 连续 3 个 月 的 性 能 显著 下 降 。 

从 蠕虫 病毒 爆发 后 全 球 Windows 用 户 开始 安装 MS03-026 补丁 修补 该 漏洞 , 网 络 运营 商 开始 设法 阻止 
里 虫草 延 ， 计 算 机 防 病毒 厂商 加 入 蠕虫 特征 进行 查 杀 。 

(5] 逐渐 消失 

2004 年 1 月 ， 蠕 虫 传播 开始 明显 被 过 制 ， 微 软 公司 估计 全 球 有 1000 万 台 主 机 受到 感染 。 从 整个 事件 
开始 到 结束 所 对 应 的 5 个 阶段 如 表 2-3 所 示 。 


表 2-3 漏洞 的 生命 周期 


阶 段 事 件 描 述 
由 于 软件 设计 者 初期 考虑 不 周 等 因素 导致 漏洞 客观 存在 ， 漏 洞 研究 人 
第 1 阶段 ”| 系统 漏洞 被 发 现 ,并 发 布 安 全 公告 | 员 发 现 漏洞 并 报告 相关 厂商 ， 厂 商 向 用 户 发 布 安全 公告 ， 并 提供 升级 


补丁 程序 
攻击 者 对 安全 补丁 进行 逆向 工程 ， 编 写 利 用 漏洞 的 攻击 程序 并 发 布 。 
助 于 和 传播 的 
第 2 阶段 本 人 人 但 是 用 户 在 漏洞 管理 方面 的 疏忽 ， 如 没有 在 第 一 时 间 安装 升级 补丁 程 
， 并 传 


序 ， 就 会 为 蠕虫 爆发 创造 条 件 。 此 阶段 漏洞 的 危害 较 小 

蠕虫 在 互联 网 或 者 局 域 网 上 利用 系统 漏洞 大 规模 传播 ， 导 致 网 络 堵塞 
或 者 瘫痪 

由 于 安装 系统 补丁 ， 蠕 虫 丧 失 感染 目标 ， 已 经 感染 的 主机 和 逐步 清除 使 
蠕虫 源 减少 。 少 数 没有 安装 补丁 的 主机 数量 减少 ， 对 网 络 的 影响 不 大 
一 段 时 间 过 后 ， 由 于 系统 升级 或 者 完成 系统 补丁 安装 工作 ， 或 者 使 用 
新 的 软件 版 本 ， 漏 洞 造成 的 影响 逐步 消失 


第 3 阶段 ”| 利用 漏洞 的 蠕虫 病毒 大 肆 爆发 


第 4 阶段 ”| 系统 漏洞 被 修复 ， 但 仍 有 发 作 


第 5 阶段 “| 漏洞 影响 逐渐 消失 


2.7.3 ”漏洞 管理 流程 


网 络 防火 墙 的 访问 控制 和 入 侵 检测 功能 ， 并 不 能 对 系统 存在 的 漏洞 进行 有 效 防御 和 阻止 ， 杀 毒 软件 更 
是 如 此 ， 只 有 当 借助 于 漏洞 入 侵 的 病毒 发 生 作用 时 ， 才 会 有 所 反映 ， 因 此 这 些 防御 方法 只 能 作为 网 络 管理 
员 的 一 种 铺 助手 段 。 要 从 根本 上 解决 利用 漏洞 进行 攻击 的 问题 ， 就 需要 对 漏洞 产生 的 原因 、 漏 洞 的 生命 周 
期 进行 研究 ， 同 时 配合 人 为 的 管理 模式 ， 建 立行 之 有 效 的 管理 机 制 ， 并 通过 漏洞 管理 类 的 产品 畏 助 执行 漏 
洞 管理 。 

1. 安全 策略 


安全 策略 是 指 确保 服务 器 、 网 络 设备 、 客 户 端 计算 机 、 网 络 安全 设备 能 够 正常 工作 的 安全 配置 。 大 多 
数 网 络 设备 都 可 以 提供 丰富 的 安全 功能 ， 并 且 部 分 功能 已 经 默认 启用 ， 管 理 员 也 可 以 根据 实际 需要 ， 人 制定 
更 加 详细 的 安全 策略 。 
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2. 漏洞 预警 


漏洞 预警 工作 通常 由 产品 供应 商 完成 ， 即 确保 在 发 现 漏洞 后 ， 第 一 时 间 告 知 用 户 ， 如 果 没有 相应 的 补 
丁 程序 ， 还 应 给 出 临时 的 解决 方案 等 。 这 就 要 求 漏洞 管理 产品 的 厂商 应 该 有 基础 的 漏洞 研究 、 跟 踪 以 及 提 
供 临时 解决 方案 的 能 力 。 


3. 漏洞 检测 

执行 检测 工作 之 前 需要 对 网 络 的 资产 进行 发 现 和 跟踪 ， 以 便 快速 、 准 确 的 确定 产生 漏洞 的 计算 机 或 网 
络 设备 。 作 为 网 络 管理 员 ， 必 须 周期 性 地 对 网 络 中 地 网 络 资产 进行 检测 ， 要 求 漏洞 管理 工具 在 保证 一 定 效 
率 的 前 提 下 ， 具 有 较 高 的 准确 性 。 需 要 注意 的 是 ， 并 不 是 检测 到 的 漏洞 越 多 越 好 ， 而 是 要 对 检测 的 有 效 性 
进行 验证 和 分 析 。 

4. 漏洞 统计 分 析 

在 漏洞 检测 完成 之 后 ， 需 要 通过 具体 的 报告 和 数据 来 对 资产 的 风险 进行 评估 、 分 析 ， 清 楚 地 显示 漏洞 
分 布 状 况 、 详 细 描 述 以 及 相应 的 解决 方案 。 需 要 注意 的 是 ， 要 对 网 络 中 的 资产 风险 进行 分 类 ， 以 便于 对 后 
续 的 漏洞 修补 工作 进行 优先 级 区 分 。 这 一 过 程 也 可 以 通过 购买 专业 的 漏洞 管理 设备 或 者 安全 服务 来 完成 。 


5. 漏洞 修补 


通过 统计 分 析 的 结果 指定 切实 可 行 的 漏洞 修补 方案 ， 并 以 合理 的 方式 通知 用 户 ， 例 如 : 可 以 通过 自动 
更 新 服务 器 来 提供 最 新 的 漏洞 修补 程序 ， 用 户 可 以 按 需 下 载 ， 也 可 以 由 服务 器 自动 分 发 完成 。 需 要 注意 的 
是 ， 要 注意 补丁 来 源 的 合法 性 ， 以 及 补丁 的 安全 性 。 通 常情 况 下 ， 必 须 对 补丁 程序 进行 小 范围 内 的 安全 性 
测试 、 兼 容 性 测试 ， 确 定 补丁 不 会 影响 到 业务 系统 的 正常 运行 后 ， 才 可 以 大 范围 分 发 。 

6. 漏洞 审计 、 跟 踪 

必须 在 网 络 中 部 署 完善 的 漏洞 审计 机 制 ， 即 对 于 新 接 入 或 启用 的 计算 机 或 网 络 设备 ， 进 行 补丁 状态 检 
测 ， 如 果 不 能 满足 安全 要 求 ， 则 拒绝 继续 访问 ， 或 通过 其 他 措施 使 其 可 以 获得 所 需 的 安全 补丁 。 这 个 过 程 
可 以 通过 操作 系统 厂商 、 第 三 方 的 补丁 管理 软件 或 者 专业 的 安全 服务 完成 。 

7. 其 他 问题 

一 个 完善 的 漏洞 管理 机 制 能 够 有 效 地 保证 人 为 的 管理 疏漏 不 被 攻击 者 利用 ， 对 于 大 多 数 利 用 漏洞 的 攻 
击 会 十 分 有 效 。 网 络 管理 人 员 在 制定 漏洞 管理 流程 的 时 候 要 根据 实际 情况 进行 细 化 或 者 裁减 ， 确 保 漏洞 管 
理 的 高 效 、 灵 活 、 实 用 。 漏 洞 管理 流程 应 该 注意 的 其 他 问题 包括 

于 “工作 流程 标准 化 。 

里 ”尽量 使 用 专业 的 、 自 动 化 的 漏洞 管理 工具 ， 尽 量 避 免 人 为 操作 。 

时。 尽量 不 要 中 断 企 业 的 业务 流程 ， 保 证 业务 的 正常 运行 。 
于 ”漏洞 修补 尽量 安排 在 晚上 或 者 业务 不 繁忙 的 时 候 运行 。 
mn 
mn 


在 测试 环境 中 模拟 测试 通过 ， 在 确保 不 影响 当前 业务 的 状态 下， 实施 漏洞 修补 工作 流程 。 
针对 不 同 的 操作 系统 要 准备 不 同 的 版 本 。 


2.7.4 漏洞 修补 方略 
大 多 数 蠕虫 病毒 都 是 通过 系统 漏洞 进行 传播 的 ， 同 时 网 络 扫描 和 利用 系统 漏洞 ， 也 是 “黑客 ”最 常用 


[88 1 


的 攻击 手段 之 一 。 因 此 ， 做 好 网 络 的 安全 保障 ， 必 须 做 好 漏洞 补丁 的 安装 管理 工作 。 对 于 个 人 用 户 而 言 ， 
系统 漏洞 修补 主要 是 安装 官方 网 站 发 布 的 补丁 ， 而 在 服务 器 或 者 网 络 中 大 规模 部 署 补 丁 通常 是 一 项 非常 重 
要 的 工作 。 安 装 之 前 ， 必 须 先 在 实验 环境 中 进行 测试 和 分 析 ， 然 后 才 可 以 在 网 络 中 大 规模 部 署 。 


1. 环境 分 析 


知己 知 彼 ， 百 战 不 殉 。 只 有 真正 了 解 网 络 内 部 状况 ， 才 能 有 效 地 实施 漏洞 修补 。 例 如 ， 及 时 掌握 网 络 
资产 情况 、 设 备 运行 状态 ， 包 括 网 络 中 运行 的 设备 型 号 、 厂 商 、 操 作 系统 种 类 、 版 本 等 。 同 时 还 要 了 解 企 
业 的 主要 业务 系统 及 重要 的 数据 ， 根 据 需要 划分 安全 等 级 ， 以 确定 安装 补丁 的 紧急 程度 和 修补 时 间 。 


2. 补丁 分 析 


用 户 计算 机 系统 信息 、 硬 件 等 变化 ， 都 可 能 导致 无 法 正确 安装 官方 发 布 的 系统 漏洞 补丁 ， 甚 至 安装 后 
还 会 导致 一 系列 的 问题 。 因 此 ， 部 署 之 前 一 定 要 针对 用 户 系统 环境 进行 测试 ， 切 不 可 盲目 地 安装 补丁 ， 否 
则 将 带 来 许多 意 想不到 的 问题 ， 其 中 包括 : 

于 导致 系统 兼容 性 出 现 问题 ， 甚 至 不 能 使 用 。 

“系统 崩溃 ， 无 法 正常 工作 。 

于 部 分 功能 无 法 使 用 。 

在 得 到 补丁 以 后 ， 正 确 的 做 法 应 该 是 : 

在 测试 环境 中 ， 测 试 对 业务 系统 的 影响 ， 以 及 兼容 性 。 

”了 解 补丁 自身 的 稳定 性 。 

”查看 补丁 是 否 还 存在 漏洞 。 

”在 大 规模 部 署 之 前 ， 进 行 小 范围 的 短 时 间 的 联机 测试 。 

在 测试 的 过 程 中 ， 应 做 好 详细 的 测试 记录 ， 了 解 补丁 程序 和 与 其 相关 的 组 件 对 象 之 间 的 兼容 性 ， 对 原 
有 系统 功能 的 影响 ， 是 否 可 以 卸载 ， 是 否 可 以 “ 回 滚 ”等 。 


3. 分 发 安装 


对 于 网 络 用 户 而 言 ， 管 理 员 可 以 通过 组 策略 、SMS、WSUS 等 多 种 方法 ,将 已 获得 的 系统 补丁 分 发 到 客 
户 端 。 其 中 ，WSUS 为 微软 公司 提供 的 专用 于 补丁 更 新 的 服务 组 件 ， 可 以 根据 客户 端 实际 情况 ， 自 动 将 补 
丁 程 序 分 发 到 用 户 或 计算 机 ， 建 议 使 用 这 种 方法 。 


2.7.5 ”漏洞 扫描 概述 


在 网 络 安全 体系 的 建设 中 ， 单 机 安全 扫描 是 一 种 花费 低 、 效 果 好 、 见 效 快 、 与 网 络 运行 相对 独立 、 安 
装运 行 简单 的 工具 ， 可 以 大 规模 减少 网 络 管理 员 的 手工 劳动 ， 有 利于 保持 全 网 安全 的 统一 和 稳定 。 

目前 ， 市 场 上 有 很 多 漏洞 扫描 工具 ， 按 照 不 同 的 技术 (基于 网 络 的 、 基 于 主机 的 、 基 于 代理 的 、 
Client/Server)、 不 同 的 特征 、 不 同 的 报告 方法 ， 以 及 不 同 的 监听 模式 ， 可 以 分 成 很 多 种 。 不 同 的 产品 之 间 ， 
漏洞 检测 的 准确 性 差别 较 大 ， 这 就 决定 了 生成 报告 的 有 效 性 上 也 有 很 大 区 别 。 选 择 正确 的 漏洞 扫描 工具 ， 
对 于 提高 系统 的 安全 性 非常 重要 。 

1. 漏洞 扫描 的 必要 性 

一 般 情况 下 ， 在 网 络 边界 处 都 会 部 署 硬件 或 软件 防火 墙 。 防 火 墙 作 为 不 同 网 络 或 网 络 安全 域 之 间 信 息 
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的 唯一 出 入 口 ， 能 根据 企业 的 安全 政策 控制 (允许 、 拒 绝 、 监 测 ) 出 入 网 络 的 信息 流 ， 且 本 身 具有 较 强 的 搞 
攻击 能 力 。 虽 然 防火 墙 是 提供 信息 安全 服务 、 实 现 网 络 和 信息 安全 的 基础 设施 ， 但 是 ， 它 也 存在 着 一 定 的 
局 限 性 。 
“外 紧 内 松 ” 是 一 般 局 域 网 络 的 特点 ， 一 道 严密 防守 的 防火 墙 其 内 部 的 网 络 也 有 可 能 是 防范 松 懈 的 。 
2. 扫描 工具 的 技术 性 能 
采用 漏洞 扫描 工具 是 保护 系统 安全 的 重要 一 步 。 当 决定 使 用 漏洞 扫描 以 后 ， 接 下 来 的 是 如 何 选择 满足 
企业 需要 的 合适 漏洞 扫描 软件 或 者 工具 。 
选择 扫描 工具 时 ， 应 当 注意 以 下 儿 个 方面 的 问题 。 
= 漏洞 库 中 的 漏洞 数量 。 
扫描 工具 的 易 用 性 。 
”是否 可 以 生成 漏洞 报告 ， 包 括 内 容 是 否 全 面 、 是 耕 可 配置 、 是 否 可 定制 、 报 告 的 格式 和 输出 广 
式 等 。 
”对 于 漏洞 修复 行为 的 分 析 和 建议 。 是 否 只 报告 存在 哪些 问题 、 是 否 会 告诉 应 该 如 何 修补 这 些 漏洞 。 
安全 性 。 由 于 有 些 扫描 工具 不 仅仅 只 是 发 现 漏洞 ， 而 且 还 进一步 自动 利用 这 些 漏洞 ， 扫 描 工具 自 
身 是 否 会 带 来 安全 风险 。 
工具 性 能 及 价格 。 


2.7.6 ”漏洞 扫描 工具 一 一 MBSA 


MBSA 全 称 Microsoft Baseline Security Analyzer， 此 工具 允许 用 户 扫描 一 台 或 多 台 基于 Windows 系统 
的 计算 机 ， 以 及 发 现 常 见 安 全 方面 的 配置 错误 ， 并 检查 操作 系统 和 已 安装 的 其 他 组 件 ， 及 时 通过 推荐 的 安 
全 更 新 进行 修补 。MBSA 支持 的 系统 平台 包括 Windows NT/2000/XP/2003/2008， 支 持 类 型 涵盖 了 微软 公 
司 的 大 部 分 产品 。 

1. 扫描 模式 


MBSA 允许 扫描 一 台 或 者 多 台 计 算 机 : 

- 台 计 算 机 。MBSA 最 简单 的 运行 模式 是 扫描 单 台 计 算 机 。 默 认 情 况 下 ， 将 扫描 本 地 计算 机 ， 管 
理 员 也 可 以 通过 指定 计算 机 名 或 IP 地 址 方式 ， 使 其 扫描 其 他 计算 机 。 扫 描 远 程 计 算 机 时 ， 当 前 用 
户 账户 必须 拥有 目标 计算 机 的 远程 访问 权限 。 

”多 台 计 算 机 。 如 果 选 择 “ 选 取 多 台 计 算 机 进行 扫描 ”时 ， 可 以 选择 通过 输入 域名 扫描 整个 域 ,或 
指定 一 个 IP 地 址 范围 并 扫描 该 范围 内 的 所 有 基于 Windows 的 计算 机 。 


© 注意 ;扫描 远程 单 台 主机 或 其 他 网 段 的 计算 机 时 ， 必 须 使 用 具有 相关 权限 的 用 户 账户 。 在 进行 “自动 扫 
描 ” 时 ， 用 来 运行 MBSA 的 账户 也 必须 是 管理 员 或 者 是 本 地 管理 员 组 的 成 员 。 

2. 扫描 类 型 

MBSA 支持 两 种 类 型 的 扫描 模式 : 


时 “MBSA 典型 扫描 。MBSA 典型 扫描 将 执行 扫描 并 且 将 结果 保存 在 单独 的 XML 文件 中 ， 这 样 就 可 以 
在 MBSA 查 看 器 中 进行 查看 .可 以 通过 MBSA GUI 方式 (mbsa.exe]j 或 MBSA 命 令 行 方式 (mbsacli.exe) 
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进行 MBSA 典型 扫描 ， 扫 描 内 容 包括 所 有 可 用 的 Windows、IIS、SQL 和 安全 更 新 检查 。 每 次 执行 
MBSA 典型 扫描 时 ， 都 会 为 每 一 台 接 受 扫描 的 计算 机 生成 一 个 安全 报告 , 并 保存 到 正在 运行 MBSA 
的 计算 机 中 。 
至。 HFNetChk 典型 扫描 。HFNetChk 典型 扫描 将 只 检查 缺少 的 安全 更 新 ， 并 以 文本 的 形式 将 扫描 结果 
显示 在 命令 行 窗口 中 。 与 以 前 独立 版 本 的 HFNetChk 处 理 方法 完全 相同 。 这 种 类 型 的 扫描 可 以 通 
过 带 有 “/xmlout” 开 关 参 数 (指示 MBSA 工具 引擎 进行 HFNetChk 扫描 ] 的 mbsacli.exe 来 执行 。 
3. 查看 安全 报表 
每 次 执行 MBSA 典型 扫描 时 ， 都 会 为 每 一 台 接 受 扫 描 的 计算 机 生成 一 个 安全 报表 ， 并 保存 在 正在 运行 
MBSA 的 主机 上 。 
安全 报表 默认 的 文件 格式 为 XML。 可 以 按照 计算 机 名 、 扫 描 日 期 、IP 地 址 或 安全 评估 对 这 些 报告 进行 
排序 。 
4. 网 络 扫描 
MBSA 最 多 可 以 允许 从 服务 器 同时 对 10000 台 计 算 机 进行 远程 漏洞 扫描 。 在 防火 墙 或 路 由 器 将 两 个 网 
络 分 开 的 多 域 环境 中 (两 个 单独 的 Active Directory 域 )，TCP 的 139 端口 和 445 端口 以 及 UDP 的 137 端口 
和 138 端口 必须 开放 ， 以 便 MBSA 连接 和 验证 所 要 扫描 的 远程 网 络 主机 。 
5. 操作 系统 检查 
MBSA 对 被 扫描 计算 机 中 的 Windows 操作 系统 进行 扫描 ， 并 检测 是 否 存 在 以 下 漏洞 。 
(1) 管理 员 组 成 员 权限 
该 项 检查 将 确定 并 列 出 属于 本 地 管理 员 组 的 用 户 账户 。 如 果 检 测 出 的 单个 管理 员 账 户 数量 超过 两 个 ， 
则 该 工具 将 列 出 这 些 账户 名 ， 并 将 该 检查 标记 为 一 个 潜在 的 安全 漏洞 。 一 般 情况 下 ， 建 议 将 管理 员 的 数量 
保持 在 最 低 限 度 ， 因 为 管理 员 对 计算 机 具有 完全 控制 权 。 
(2) 审核 
该 项 检查 将 确定 在 被 扫描 的 计算 机 上 是 否 启用 了 系统 审核 功能 。Windows 系统 的 审核 特性 可 跟踪 和 记 
录 系 统 上 的 特定 事件 ， 如 成 功 的 和 失败 的 登录 尝试 。 通 过 监视 系统 的 事件 日 志 ， 可 以 发 现 潜在 的 安全 问题 
和 恶意 活动 。 
(3] 自动 登录 
该 项 检查 将 确定 在 被 扫描 的 计算 机 上 是 否 启用 了 “自动 登录 ”功能 ， 以 及 登录 密码 是 否 在 注册 表 中 以 
明文 方式 存储 。 如 果 “ 自 动 登录 ”已 启用 并 且 登 录 密 码 以 明文 形式 存储 ， 则 安全 报表 就 会 将 这 种 情况 作为 
一 个 严重 的 安全 漏洞 反映 出 来 。 如 果 “ 自 动 登录 ”已 启用 而 且 密码 以 加 密 形式 存储 在 注册 表 中 ， 那 么 安全 
报表 就 会 将 这 种 情况 作为 一 个 潜在 的 安全 漏洞 标记 出 来 。 默 认 情况 下 ，Windows Server 2008 禁止 “自动 
登录 ”。 


© 注意 ， 如 果 扫 描 结 果 中 提示 “Error Reading Registry”( 读 取 注 册 表 时 出 错 ) 消 息 ， 则 表示 远程 注册 表 服务 
可 能 还 未 启用 。 


(4) 自动 更 新 
该 项 检查 将 确定 是 否 在 被 扫描 的 计算 机 上 启用 了 自动 更 新 功能 ， 以 及 详细 的 配置 情况 。 通 常情 况 下 ， 
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用 户 可 以 通过 多 种 方式 获取 和 安装 更 新 ,例如 直接 访问 Windows Update 站 点 、 组 策略 远程 部 署 、 架 设 WSUS 
服务 器 等 。 当 用 户 使 用 直接 下 载 更 新 方式 之 外 的 其 他 方式 时 , 扫描 结果 中 可 能 会 出 现 相关 的 安全 警告 信息 ， 
提示 自动 更 新 没有 正确 配置 ， 此 时 不 必 理 会 。 

(5) 域 控制 器 

该 项 检查 将 确定 正在 接受 扫描 的 计算 机 是 否 为 域 控制 器 ， 这 主要 是 针对 Windows Server 2003 和 
Windows Server 2008 系统 而 言 的 。 在 Windows 域 网 络 中 ， 域 控制 器 的 地 位 和 作用 是 非常 重要 的 ， 不 仅 
掌管 着 所 有 网 络 资源 的 安全 访问 ， 而 且 存储 着 所 有 网 络 用 户 的 身份 验证 信息 ， 如 果 存 在 安全 漏洞 ， 则 后 果 
不 堪 设 想 。 基 于 上 述 原 因 ， 域 控制 器 应 该 被 视 为 需要 加 强 保护 的 关键 资源 。 应 确认 当前 网 络 是 否 需 要 将 这 
台 计 算 机 作为 域 控制 器 ， 并 确认 是 否 采取 了 相应 的 步骤 来 加 强 这 人 台 计 算 机 的 访问 安全 。 

(6] 文件 系统 

该 项 检查 将 确定 在 每 个 分 区 使 用 的 文件 系统 类 型 。NTFS 具有 访问 控制 功能 ， 是 一 个 安全 的 文件 系统 ， 
因此 ， 服 务 器 所 有 分 区 均 使 用 该 文件 系统 ， 如 果 使 用 FAT32 文件 系统 ， 则 扫描 结果 中 将 报警 。 


© 注意 : 为 了 使 该 检查 成 功 执行 ， 驱 动 器 必须 通过 管理 驱动 器 共享 来 实现 共享 。 


(7] 来 宾 账户 

该 项 检查 将 确定 在 被 扫描 的 计算 机 上 是 否 启 用 了 系统 内 署 的 来 宾 账户 。 来 宾 账户 主要 视 为 临时 用 户 提 
供 的 ， 默 认 情况 下 是 禁用 的 。 当 一 名 用 户 在 计算 机 或 域 上 没有 账户 ， 或 者 在 计算 机 所 在 的 域 信任 的 任何 一 
个 域 中 没有 账户 时 ， 可 使 用 这 种 账户 登录 到 运行 Windows NT/2000/XP/2003/Vista/2008 系统 的 计算 机 。 
在 使 用 简单 共享 的 Windows XP/Vista 计算 机 上 ， 作 为 安全 模型 的 一 部 分 ,网 络 上 的 所 有 用 户 连 接 都 将 映射 
到 来 宾 账 户 。 

如 果 在 Windows NT/2000/XP/2003/Vista/2008 计算 机 上 已 启用 来 宾 账 户 , 则 此 时 将 在 安全 报表 中 作 
为 一 个 安全 漏洞 标记 出 来 。 如 果 在 使 用 简单 文件 共享 的 Windows XP/Vista 计算 机 上 已 启用 来 宾 账户 , 则 这 
种 情况 将 不 会 作为 安全 漏洞 标记 出 来 。 

(8) Windows 防火 墙 

该 项 检查 将 确定 是 否 在 被 扫描 的 计算 机 上 对 所 有 的 活动 网 络 连接 启用 Windows 防火 墙 , 这 主要 是 针对 
Windows XP/2003/2008 系统 而 言 的 。 如 果 已 经 启用 防火 墙 ， 则 还 将 对 其 开放 的 入 站 端口 进行 检测 。 如 果 
上 述 系 统 的 Windows 防火 墙 没 有 开启 ， 或 者 开放 了 存在 安全 漏洞 的 端口 ， 则 扫描 结果 中 将 出 现 警 告 信息 。 

(9] 本 地 账户 密码 

该 项 检查 将 找 出 使 用 空白 密码 或 简单 密码 的 所 有 本 地 用 户 账户 。Windows 2000/XP/2003 系统 的 管理 
员 账 户 密码 均 可 以 设置 为 室 ， 因 此 存在 很 大 的 安全 隐患 。 在 Windows Server 2008 系统 中 ， 必 须 设 置 符合 
相应 复杂 程度 的 安全 密码 , 才 允 许 启用 管理 员 账 户 。 因此 该 项 扫描 只 适用 于 Windows 2000/XP/2003 系统 ， 
如 果 本 地 用 户 账户 密码 符合 下 列 条 件 之 一 ， 就 会 出 现 警告 : 

”密码 为 空白 。 
密码 与 用 户 账 户 名 相同 。 
密码 与 计算 机 名 相同 。 
密码 使 用 “password” 一 词 。 
密码 使 用 “admin” 或 “administrator” 一 词 。 
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局 提示 : 该 项 检查 可 能 会 花 较 长 时 间 ， 这 取决 于 计算 机 上 的 用 户 账 户 数量 。 因 此 ， 管 理 员 可 能 需要 在 扫描 
它们 所 在 网 络 的 域 控制 器 前 禁用 该 检查 。 


(10】 密码 过 期 

该 项 检查 将 确定 是 否 有 本 地 用 户 账户 设置 了 永 不 过 期 的 密码 。 密 码 应 该 定期 更 改 ， 以 降低 遭 到 密码 攻 
击 的 可 能 性 。 

(11) 限制 匿名 用 户 

该 项 检查 将 确定 被 扫描 的 计算 机 上 是 否 使 用 了 RestrictAnonymous 注册 表 项 来 限制 匿名 连接 。 人 允许 匿 
名 连接 本 身 就 是 一 个 很 危险 的 系统 漏洞 ， 何 况 匿名 用 户 还 可 以 列 出 某 些 类 型 的 系统 信息 ， 其 中 包括 用 户 名 
及 其 详细 信息 、 账 户 策略 和 共享 名 ， 因 此 必须 对 安全 要 求 严格 的 服务 器 限制 此 项 功能 ， 以 使 匿名 用 户 无 法 
访问 。 

(12) 共享 资源 

该 检查 将 确定 在 被 扫描 的 计算 机 上 是 否 存在 共享 文件 夹 。 扫 描 报告 将 列 出 在 计算 机 上 发 现 的 所 有 共享 
内 容 ， 其 中 包括 管理 共享 及 其 共享 级 别 和 NTFS 级 别 的 权限 。 通 常情 况 下 ， 应 关闭 系统 中 非 必要 的 共享 目 
录 ， 尤 其 是 服务 器 更 应 如 此 。 扫 描 结果 中 将 列 出 所 有 的 系统 默认 共享 ， 和 用 户 后 期 设置 的 重要 资源 共享 。 

(13)】 检查 是 否 存 在 不 必要 的 服务 

该 检查 将 确定 被 扫描 计算 机 上 的 services.txt 文件 中 是 否 包 含 已 启用 的 服务 。services.txt 文件 是 一 个 可 
配置 的 服务 列表 ， 这 些 服务 都 不 应 该 在 被 扫描 的 计算 机 上 运行 。 此 文件 由 MBSA 安装 并 存储 在 该 工具 的 安 
装 文件 夹 中 。 该 工具 的 用 户 应 配置 services.txt 文件 ， 以 便 包 括 在 各 台 被 扫描 的 计算 机 上 所 要 检查 的 那些 特 
定 服务 。 默 认 情 况 下 ， 与 该 工具 一 起 安装 的 services.txt 文件 包含 下 列 服务 : 

m MSFTPSVC(FTP), 

sm TintSvr(Telnet) 。 

mW3SVC(WWW)。 

m SMTPSVC(SMTP), 

服务 是 一 种 程序 ， 只 要 计算 机 在 运行 操作 系统 ， 它 就 在 后 台 运 行 。 服 务 不 要 求 用 户 必须 进行 登录 。 服 
务 用 于 执行 不 依赖 于 用 户 的 任务 ， 如 等 待 信息 传 入 的 传真 服务 。 


6. 安全 更 新 检查 


MBSA 对 在 被 扫描 的 计算 机 中 的 安全 更 新 列表 进行 扫描 ， 并 检测 是 否 存 在 由 于 安装 更 新 补丁 产生 的 新 
漏洞 。 该 项 检查 将 确保 具有 针对 下 列 产品 和 组 件 的 最 新 服务 包 和 安全 更 新 : 
Windows NT 4.0( 除 非 通过 mbsacli.exe /xmlout 进行 扫描 ， 否 则 只 能 进行 远程 扫描 )。 
Windows 2000。 
Windows XP。 
Windows Server 2003 。 
Windows Vista。 
Windows Server 2008。 
Internet Explorer 5.01 和 后 续 版 本 。 
Windows Media Player 6.4 和 后 续 版 本 。 
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于 ”JIS 4.0 和 后 续 版 本 。 

m SQL Server 7.0/2000/2005( 包 括 Microsoft Data Engine)。 

m Exchange Server 5.5/2000/2003/2007( 包 括 Exchange Admin Tools)。 

和 ”Microsoft Office( 只 能 进行 本 地 扫描 )。 

m Microsoft Data Access Components(MDAC)2.5/2.6/2.7/2.8。 

m MicrosoftVirtual Machine。 

a MSXML2.5/2.6/3.0/4.0/5.0/6.0。 

m BizTalkServer 2000/2002/2004/2006. 

nm Commerce Server 2000/2002。 

m Microsoft Content Management Server(MCMS)2001/2002.。 

m SNA Server 4.0、Host Integration Server(HIS)2000 和 2004。 

7. 桌面 应 用 程序 检查 

MBSA 对 在 被 扫描 计算 机 中 的 桌面 应 用 程序 进行 扫描 ， 并 检测 是 否 存在 以 下 漏洞 。 

(正安 全 区 域 

该 项 检查 将 列 出 被 扫描 计算 机 上 所 有 本 地 用 户 当前 采用 的 正 区 域 安全 设置 ， 并 给 出 合理 建议 。 

IE 内 容 区 域 将 Internet 或 Intranet 分 成 了 具有 不 同安 全 级 别 的 区 域 。 对 于 每 个 安全 区 域 ， 可 以 选择 相 
应 的 安全 级 别 ， 或 者 自 定义 安全 设置 。Microsoft 建议 ， 对 于 不 能 确定 是 否 可 信任 的 区 域内 的 站 点 ， 应 将 安 
全 性 设置 为 高 。 自 定义 选项 为 高 级 用 户 和 管理 员 提供 了 针对 所 有 安全 选项 的 更 多 的 控制 权 ， 其 中 包括 下 列 
几 项 : 

对 文件 、ActiveX 控件 和 脚本 的 访问 。 

提供 给 Java 小 程序 的 功能 级 别 。 

带 有 安全 套 接 字 层 (SSL) 身 份 验证 的 站 点 身份 指定 。 

带 有 NTLM 身份 验证 的 密码 保护 (根据 服务 器 所 在 的 区 域 ，Internet Explorer 可 以 自动 发 送 密码 信 
息 ， 提 示 用 户 输 入 用 户 名 和 密码 信息 ， 或 者 干脆 拒绝 任何 登录 请 求 ]。 

(2] 面向 管理 员 的 IE 增强 安全 配置 

该 检查 可 识别 出 运行 Windows Server 2008 系统 的 计算 机 上 是 否 已 经 启用 针对 管理 员 的 下 增强 安全 配 
置 [Enhanced Security Configuration)。 如 果 已 经 安装 了 针对 管理 员 的 IE 增强 安全 配置 ， 这 一 检查 还 会 识别 
出 禁用 该 下 增强 安全 配置 的 管理 员 。 

(3] 面向 非 管理 员 的 下 增强 安全 配置 

该 检查 识别 出 在 运行 Windows Server 2008 系统 的 计算 机 上 ， 是 否 已 经 启用 用 于 非 管理 员 的 用 户 的 
Internet Explorer 增强 安全 配置 (Enhanced Security Configuration)。 如 果 已 经 安装 了 针对 非 管 理 员 的 
Internet Explorer 增强 安全 配置 ， 这 一 检查 还 会 识别 出 禁用 该 Internet Explorer 增强 安全 配置 的 非 管理 员 
用 户 。 

(4) Office 安全 配置 和 分 析 宏 保护 

该 检查 将 对 每 个 用 户 逐 一 确定 Microsoft 0ffce 2003、0 储 ce 2000 和 Office 97 宏 保护 的 安全 级 别 。 
MBSA 还 将 对 PowerPoint、Word、Excel 和 Outlook 进行 检查 。 

宏 能 够 将 重复 的 任务 自动 化 。 这 样 可 以 节省 时 间 ， 但 也 会 被 用 于 传播 病毒 ， 例 如 ， 当 用 户 打开 包含 恶 
意 宏 的 受 感染 文档 时 ， 就 会 使 恶意 宏 莹 延 到 系统 上 的 其 他 文档 ， 或 者 传播 给 其 他 用 户 。 
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Windows Server 2008 活动 目录 域名 服务 (ADDS) 在 © 关键 词 
安全 方面 有 了 很 大 的 改进 ， 同 时 使 部 署 和 管理 ADDS 变 和 ”活动 目录 安全 管理 
得 更 加 轻松 。 其 中 ， 只 读 域 控制 器 (RODC) 是 一 项 非常 重 a 活动 目录 数据 库 
要 的 技术 。 这 是 因为 许多 用 户 是 具有 许多 分 公司 的 全 球 
性 组 织 ， 多 数 为 销售 公司 或 生产 网 点 ， 带 宽 有 限 ， 域 控 
制 器 的 安全 性 很 差 。 此 时 ， 要 做 到 既 满 足 用 户 快速 登录 
的 需求 ， 又 能 确保 域 控制 器 的 安全 ， 就 要 用 到 RODC。 


四 二 


3.1 活动 目录 安全 管理 


Active Directory 是 一 个 分 布 式 的 数据 库 ， 包 含 的 对 象 信息 通常 分 布 在 多 台 不 同 的 计算 机 上 ， 用 于 提供 
安全 认证 和 网 络 资源 管理 。 安 装 Active Directory 服务 的 计算 机 被 称 为 域 控制 器 ， 在 Active Directory 架构 
中 ， 域 控制 器 可 以 担当 多 种 角色 ， 例 如 ， 全 局 编 录 服务 器 、 操 作 主 机 以 及 单一 域 控制 器 等 。 在 大 、 中 型 
Windows 域 网 络 中 ， 必 须 详细 指派 每 台 域 控制 器 的 角色 ， 以 免 产 生 网 络 管理 上 的 混乱 ， 导 致 不 必要 的 安全 
问题 。 


3.1.1 全 局 编 录 


全 局 编 录 (Global Catalog，GC) 是 域 林 中 所 有 对 象 的 集合 ， 是 一 台 特殊 的 域 控制 器 ， 主 要 存储 林 中 主持 
域 的 目录 中 所 有 对 象 的 完全 副本 ， 以 及 所 有 其 他 域 中 所 有 对 象 的 部 分 只 读 副 本 。 默 认 情况 下 ， 在 活动 目录 
中 创建 的 第 一 个 域 控制 器 为 全 局 编 录 服务 器 ， 其 他 域 控制 器 也 可 以 被 指派 为 全 局 编 录 服务 器 ， 用 于 实现 网 
络 负载 平衡 和 宛 余 。 全 局 编 录 服务 器 负责 响应 网 络 中 所 有 的 全 局 编 录 查询 ， 一 旦 出 现 问题 ， 用 户 将 无 法 查 
询 和 登录 。 建 议 网 络 安全 要 求 较 高 的 用 户 配置 多 台 全 局 编 录 服务 器 ， 以 提高 系统 的 可 用 性 和 可 靠 性 。 但 需 
要 注意 的 是 ， 网 络 中 GC 之 间 的 复制 可 能 会 增加 一 定 的 网 络 带宽 开销 。 


注意 : 当 林 中 只 有 一 个 域 时 ， 则 不 必 在 登录 时 从 全 局 编 录 获取 通用 组 成 员 身 份 。 因 为 Active Directory 可 
以 检测 到 林 中 没有 其 他 域 ， 并 将 阻止 向 全 局 编 录 查询 此 信息 。 


1. 概述 

GC 服务 器 中 存储 的 数据 都 是 用 户 搜索 操作 中 最 常用 的 部 分 ， 可 以 为 用 户 提供 高 效 的 搜索 ， 避 免 再 去 调 
用 域 控制 器 中 的 Active Directory 数据 库 对 网 络 性 能 带 来 的 影响 。 全 局 编 录 的 主要 功能 如 下 。 

(1) 查找 对 象 

全 局 编 录 允许 用 户 在 林 中 的 所 有 域 中 搜索 目录 信息 ， 无 论 目标 数据 存储 在 什么 位 置 ， 都 将 以 最 快 的 速 
度 和 最 低 的 网 络 流量 在 林 中 执行 搜索 。 

(2] 提供 用 户主 体 名 称 身份 验证 

当 验 证 域 控制 器 无 法 识别 用 户 账户 时 ， 全 局 编 录 服务 器 会 解析 主体 名 称 (User Principal Name，UPN)， 
从 而 确定 其 属于 林 中 的 哪个 域 。 例 如 ， 如 果 某 账户 属于 hs.coolpen.net， 并 且 使 用 liuxh@hs.coolpen.net 的 
UPN 名 称 从 一 台 位 于 heb.coolpen.net 的 计算 机 上 登录 , 则 此 时 heb.coolpen.net 无 法 为 该 用 户 提供 身份 验证 ， 
必须 与 全 局 编 录 服 务 器 联系 ， 经 确认 后 该 用 户 账户 方 可 顺利 登录 。 

(3] 验证 林内 的 对 象 引 用 

域 控制 器 使 用 全 局 编 录 验证 对 林内 其 他 域 的 对 象 的 引用 。 当 域 控制 器 保留 其 属性 包含 对 其 他 域 中 对 象 
引用 的 目录 对 象 时 ， 域 控制 器 将 通过 与 全 局 编 录 服务 器 联系 来 验证 引用 的 合法 性 。 

(和 提供 多 域 环境 中 的 通用 组 成 员 身份 信息 

域 控制 器 可 以 始终 发 现 其 域 中 任何 用 户 的 本 地 组 和 全 局 组 成 员 身 份 ， 并 且 这 些 组 的 成 员 身份 信息 是 不 
被 存储 在 全 局 编 录 服务 器 上 的 。 在 单 域 林 环境 中 ， 域 控制 器 可 以 始终 发 现 通用 组 成 员 身 份 ， 但 通用 组 可 以 
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包含 来 自 不 同 域 的 成 员 ， 因 此 将 通用 组 的 成 员 身 份 信息 复制 到 全 局 编 录 服 务 器 ， 可 以 提供 更 广 范围 的 账户 
身份 信息 验证 。 在 多 域 林 环 境 中 的 用 户 登 录 到 允许 通用 组 的 域 时 ， 域 控制 器 必须 与 全 局 编 录 服务 器 联系 ， 
以 检索 用 户 可 能 在 其 他 域 中 具有 的 任何 通用 组 成 员 身份 。 


j 提示: 如 果 用 户 登录 到 通用 组 可 用 的 域 时 ， 全 局 编 录 服务 器 不 可 用 ， 则 用 户 的 客户 端 计算 机 可 以 使 用 组 
存 凭据 登录 ; 如 果 用 户 在 此 之 前 并 未 登录 到 过 该 域 ， 则 用 户 只 能 登录 到 本 地 计算 机 。 


2. 添加 全 局 编 录 服务 器 


默认 情况 下 ， 每 个 域 林 中 只 有 一 台 全 局 编 录 服务 器 ， 即 根 域 控制 器 。 但 为 了 提升 网 络 安全 性 ， 往 往 需 
要 添加 一 台 或 者 多 台 全 局 编 录 服务 器 ， 实 现 见 余 和 负载 均衡 。 在 根 域 控制 器 上 进行 如 下 操作 ， 即 可 将 其 子 
域 控制 器 或 备份 域 控制 器 提升 为 全 局 编 录 服务 器 。 
Q@ ”依次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 站 点 和 服务 ”， 打 开 “Active Directory 站 
点 和 服务 ”窗口 ， 依 次 展开 Sites 一 Default-First-Site-Name( 系 统 默认 站 点 名 称 ] 一 Servers 一 
TIANJL( 子 域 控制 器 ] 一 NTDS Settings， 如 图 3-1 所 示 。 


文件 加 损 作 加 查看 WW 部 助 0D 
和 唤 | 广 到 | 器 轨 东 | 回 可 | 避 
ctery 站 点 和 服务 [xh coolpen_ net] 


Defwult-First-Site-Hwme 。 连接 


图 3-1 “Active Directory 站 点 和 服务 ”窗口 


回 右 击 NTDS Settings 并 选择 快捷 菜单 中 的 “属性 ”命令 ， 显 示 如 图 3-2 所 示 的 “NTDS Settings 属 
性 ”对 话 框 ， 选 中 “全 局 编 录 ” 复 选 框 。 

@ 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 3-3 所 示 的 “Active Directory 域 服务 ”对 话 框 。 提 示 所 选 子 域 是 当 
前 域 中 的 结构 主机 角色 ， 不 适宜 用 作 全 局 编 录 服务 器 。 

@ 单 击 “ 是 ”按钮 确认 ， 并 单 击 “确定 ”按钮 保存 设置 ， 即 可 将 该 子 域 提升 为 全 局 编 录 服务 器 。 

如 果 在 一 台 已 经 是 全 局 编 录 服务 器 的 控制 器 上 ， 取 消 其 “全 局 编 录 ”身份 之 后 ， 系 统 将 立即 停止 对 全 
局 编 录 服务 器 服务 端口 (默认 使 用 3268 和 3269 端口 ] 的 监听 。 同 时 ， 开 始 执行 数据 库 清 理工 作 ， 清 理 的 时 
间 比 较 长 , 大 约 每 个 小 时 从 域 控制 器 删除 2000 个 对 象 , 直到 清理 完成 为 止 。 Windows Server 2008 的 Active 
Directory 服务 允许 管理 员 删 除 全 局 编 录 服务 器 ， 但 是 不 允许 将 全 部 全 局 编 录 服 务 器 删除 ， 和 否则 用 户 账户 将 
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无 法 正常 登录 ，Active Directory 将 不 能 正常 运行 。 


xw | 


图 3-2 “NTDS Settings 属性 ”对 话 框 图 3-3 “Active Directory 域 服务 ”对 话 框 


© 注意 ;设置 完成 ， 并 不 代表 全 局 编 录 服务 器 已 经 提升 完成 ， 全 局 编 录 数据 库 同步 需要 时 间 。 


3.1.2 ”操作 主机 


默认 情况 下 ，Active Directory 域 中 的 第 一 台 域 控制 器 承载 着 整个 林 的 所 有 操作 主机 (Operations 
Masters，OM) 角 色 ， 也 称 为 灵活 单 主机 操作 (Flexible Single Master Operation，FSMO)。 操 作 主 机 是 Active 
Directory 数据 库 中 的 特殊 对 象 ， 具 备 此 类 角色 的 域 控制 器 肩负 着 Active Directory 核心 功能 。Active 
Directory 域 中 有 5 种 类 型 的 操作 主机 ， 分 别 是 : 
架构 主机 (Schema Master)。 
域 命 名 主机 (Domain Naming Master] 。 
PDC 仿真 器 (PDC Emulator)。 
RID 主机 (RID Master)。 
基础 架构 主机 (Infrastructure Master] 。 
其 中 ， 每 个 林 中 必须 具备 一 个 架构 主机 和 一 个 域 命名 主机 两 种 操作 主机 ， 并 且 这 些 角色 是 唯一 的 。 而 
在 林 的 每 个 域 中 都 必须 具备 RID 主机 、PDC 主机 和 基础 架构 主机 ， 并 且 均 是 唯一 的 。 
1. 操作 主机 的 重要 性 
操作 主机 在 Active Directory 环境 中 , 肩负 着 重要 的 作用 , 如 果 操作 主机 出 现 故障 , 将 会 出 现 以 下 问题 : 
于。 当 架 构 主 机 不 可 用 时 ， 不 能 对 架构 进行 更 改 。 在 大 多 数 网 络 环境 中 ， 对 架构 更 改 的 频率 很 低 ， 并 
且 应 提前 进行 规划 ， 以 免 由 于 架构 主机 的 故障 ， 导 致 网 络 功能 受到 影响 。 
和 ” 当 域 命名 主机 不 可 用 时 ， 不 能 通过 运行 DCPROMO 向 活动 目录 中 添加 或 删除 域 ， 如 果 强 行 操作 ， 
将 会 收 到 类 似 “RPC 服务 器 不 可 用 ”的 提示 信息 。 
时” 当 RID 主机 不 可 用 时 ， 所 直到 的 主要 问题 是 不 能 向 域 中 添加 任何 新 的 安全 对 象 ， 例 如 用 户 、 组 和 
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计算 机 。 

和 ” 当 PDC 主机 不 可 用 时 ， 在 本 机 模式 环境 中 用 户 登录 失败 的 可 能 性 增 大 。 

时 当 基础 架构 主机 不 可 用 时 ， 结 构 主 机 故障 对 环境 的 影响 是 有 限 的。 最 终 用户 并 不 能 感觉 到 它 的 影 
响 ， 只 会 对 管理 员 执行 大 量 组 操作 产生 影响 。 这 些 组 操作 通常 是 添加 用 户 / 或 重新 命名 用 户 。 在 此 
情况 下 ， 结 构 主机 故障 只 是 会 延迟 通过 Active Directory 管理 单元 引用 这 些 更 改 的 时 间 。 

2. 安全 规划 

鉴于 操作 主机 在 域 中 担负 着 如 此 重要 的 作用 ， 转 移 或 更 改 之 前 必须 做 好 细致 的 规划 。 

(D 单 域 环境 

Windows Server 2003/2008 单 域 控制 器 上 角色 的 初始 配置 , 只 能 将 所 有 FSMO 主机 角色 规划 部 署 在 一 

台 Windows Server 2003/2008 域 控制 器 上 。 全 局 编 录 服务 器 也 配置 在 此 服务 器 上 。 在 活动 目录 森林 里 只 
有 一 个 域 的 情况 下 ， 基 础 架构 主机 是 不 起 作用 的 。 

(2) 多 域 环境 

在 多 域 环境 中 ， 存 在 多 台 域 控制 器 和 多 台 全 局 编 录 服务 器 ， 对 性 能 的 要 求 如 下 。 

”具有 架构 主机 角色 的 域 控制 器 上 不 需要 高 性 能 ， 通 常情 况 下 ， 只 需 保 证 其 可 用 性 即 可 ， 很 少 用 于 
实际 扩展 。 

”具有 域 命名 主机 角色 的 域 控制 器 不 需要 高 性 能 ， 但 是 要 保证 高 可 用 性 。 

”具有 PDC 主机 角色 的 域 控制 器 是 FSMO 五 种 角色 里 任务 最 重 的 , 占用 PDC 模拟 器 的 域 控制 器 要 保 
证 高 性 能 和 高 可 用 性 。 

”具有 RID 主机 角色 的 域 控 制 器 ， 不 要 求 高 性 能 ， 但 要 保证 高 可 用 性 。 

”具有 基础 架构 主机 角色 的 域 控制 器 ， 可 忽略 性 能 和 高 可 用 性 。 

可 以 根据 如 下 规则 规划 FSMO 角色 。 

时 “备用 服务 器 与 主要 FSMO 服务 器 位 于 同一 站 点 中 ， 以 便 在 大 的 计算 机 组 中 获得 更 快 的 复制 性 能 。 

”将 RID 角色 和 PDC 模拟 器 角色 放置 在 同一 域 控制 器 上 。 因 为 下 级 客户 端 和 应 用 程序 以 PDC 为 目 
标 ， 所 以 应 保证 从 PDC 到 RID 主机 的 良好 通信 。 

里“ 在 目录 林 级 别 上 ， 架 构 主 机 角色 和 域 命名 主机 角色 应 该 放置 在 同一 域 控制 器 上 。 另 外 ， 域 命名 主 
机 FSMO 也 应 该 是 全 局 目录 服务 器 。 

和 ”PDC 主机 建议 单独 规划 在 一 台 域 控制 器 上 。 

se。 域 命名 主机 和 全 局 编 录 服务 器 规划 在 一 台 域 控制 器 上 。 

里 ”使 用 一 个 管理 控制 台 可 管理 所 有 的 FSMO 角色 ， 并 且 确 认 所 有 的 FSMO 都 是 正常 的 。 

“不 要 将 结构 主机 放 在 全 局 目录 服务 器 上 ”这 一 规则 有 以 下 两 个 例外 。 

时 单 域 目录 林 : 在 包含 单个 Active Directory 域 的 目录 林 中 没有 跨 域 操作 ， 因 此 没有 需要 结构 主机 完 
成 的 任务 。 在 这 种 情况 下 ， 可 以 将 结构 主机 放 在 域 中 的 任 一 域 控制 器 上 。 

里 “多 域 目录 林 : 其 中 的 每 个 域 控制 器 都 包含 全 局 目录 ,如 果 目 录 林 中 的 每 个 域 控制 器 承载 全 局 目录 ， 
则 没有 需要 结构 主机 完成 的 任务 。 在 这 种 情况 下 ， 可 以 将 结构 主机 放 在 目录 林 中 的 任 一 域 控制 
器 上 。 


3. 转移 操作 主机 
在 Active Directory 环境 中 ， 如 果 有 具备 操作 主机 角色 的 域 控制 器 出 现 故障 ， 在 域 控制 器 可 用 的 情况 下 ， 
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可 以 使 用 “转移 角色 ”的 方式 完成 操作 主机 角色 的 转移 。 在 域 控制 器 不 可 用 的 情况 下 ， 可 以 使 用 “占用 角 
色 ” 的 方式 完成 操作 主机 角色 的 转移 。 角 色 转 移 过 程 是 可 逆 的 ， 既 可 以 从 A 域 控制 器 转移 到 B 域 控制 器 ， 
也 可 以 从 B 域 控制 器 重新 转移 到 A 域 控制 器 。 

这 里 以 域 coolpen.net 为 例 , 介绍 如 何 将 操作 主机 角色 从 主 域 控制 器 (liuxh.coolpen.net) 转 移 到 额外 域 控 
制 器 (tianjl.coolpen.net)， 主 要 操作 包括 : 
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转移 “Active Directory 用 户 和 计算 机 ”中 的 操作 主机 角色 。 

转移 “Active Directory 域 和 信任 关系 ”中 的 操作 主机 角色 。 

转移 “Active Directory 架构 ”中 的 操作 主机 角色 。 

转移 “Active Directory 用 户 和 计算 机 ”中 的 操作 主机 角色 

在 主 域 控制 器 上 ， 依 次 单 击 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ” 选 
项 ， 将 操作 主机 转移 到 额外 域 控制 器 之 前 ， 必 须 先 连接 到 额外 域 控制 器 ， 即 右 击 coolpen.net 并 选 
择 快 捷 菜单 中 的 “更 改 域 控制 器 ”命令 ， 如 图 3-4 所 示 。 


ory 用 户 和 计算 机 


文件 0) 操作 以) 查看 帮助 0D 
和 中 | 方 丰 | 口 | 口 Gz| 旧 加 | 各 名 各 也 百 名 
[Bsetive nirsstery 用 户 和 计划 和 


ailtinDoaain 
容器 


组 织 单位 
容器 
容器 


图 3-4 连接 到 额外 域 控制 器 


打开 如 图 3-5 所 示 的 “更 改 目录 服务 器 ”对 话 框 ， 选 择 “ 此 域 控制 器 或 AD LDS 实例 ” 单 选 按钮 ， 
选中 tianjLcoolpen.net， 也 可 以 选中 “在 此 处 键入 目录 服务 器 名 称 [: 端 口 ]”， 输 入 域 控制 器 或 轻型 
目录 服务 器 实例 所 在 服务 器 的 IP 地 址 和 端口 号 。 

单 击 “ 确 定 ” 按 钮 ， 返 回 到 “Active Directory 用 户 和 计算 机 ”窗口 。 

继续 在 主 域 控制 器 上 右 击 coolpen.net， 选 择 快捷 菜单 中 的 “操作 主机 ”命令 ， 显 示 如 图 3-6 所 示 
的 “操作 主机 ”对 话 框 ， 默 认 显 示 RID 选项 卡 。“ 操 作 主 机 ”文本 框 中 显示 原 主 域 控制 器 的 主 
机 名 。 

单 击 “更 改 ” 按 钮 ， 显 示 如 图 3-7 所 示 的 “Active Directory 域 服务 ”对 话 框 ， 即 可 将 更 改 RID 主 
机 角色 转移 到 额外 域 控制 器 上 。 

单 击 “ 是 ”按钮 ， 确 认 转移 操作 主机 角色 ， 显 示 如 图 3-8 所 示 的 “Active Directory 域 服务 ”对 话 
框 ， 提 示 “ 成 功 传送 了 操作 主机 角色 ”。 


EC 了 o 
am | | 大 结构 | 
| 和 za 地 民 只 有 一 折 册 和 吕 提 
Wk: 毛 作 主机 加); 
人 企 亲 本 5 的 二 控制 基 的 Ee 
人 此 域 控制 器 或 加 LDs 实例 Cr) Fir 主机 角色 到 下 列 计算 机 ， 请 单 击 "更 [更改 C) ] 
丛 此 允 刍 入 目地 服务 器 名 种 [ 问 口 ] 
Ne st re 
厂 为 当前 控制 各 保存 此 设置 
wk | ww | 关注 本 
图 3-5 “更 改 目 录 服 务 器 ”对 话 框 图 3-6 RID 选项 卡 
A 人 En mnne. 
是 D，| [CE 区 于 酉 
3-7 “Active Directory 域 服务 ”对 话 框 图 3-8 “Active Directory 域 服务 ”对 话 框 
@ 单 击 “ 确 定 ” 按 钮 ， 返 回 到 “操作 主机 ”对 话 框 的 RID 选项 卡 ， 如 图 3-9 所 示 ，“ 操 作 主 机 ” 文 


本 框 中 己 经 转变 为 额外 域 控制 器 的 主机 名 。 
@ 使 用 相同 的 方法 在 PDC 选 
“tianjl.coolpen.net”， 如 图 3-10 所 示 。 
BE x 
RD |poc | 基础 结 和 | 
a 过， 有 -有 
扣 作 主机 中 ); 
[imiieeipase 
和 sh ii 十 "更 [ERGI 


[si coolpen net 


图 3-9 成 功 转移 RID 操作 主机 


回 使 
“tianjl.coolpen.net”， 如 图 3-11 所 示 。 


先 项 卡 中 ， 将 “操作 主机 ”由 原来 的 “liuxh.coolpen.net ”更 改 为 


BD PDC | 基础 结构 | 
区 
扣 作 主机 吕 ) 


imepem 
Tt 请 单 击 “" 更 


ijl coolpen net 


3-10 成功 转移 PDC 操作 主机 


相同 的 方法 ， 在 “基础 结构 ”选项 卡 中 将 “操作 主机 ”由 原来 的 “liuxh.coolpen.net” 更 改 为 
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注意 : “基础 结构 ”角色 的 转移 与 当前 额外 域 控 制 器 是 否 同时 担当 “全 局 编 录 ”角色 有 关 ， 如 果 是 则 将 
提示 如 图 3-12 所 示 的 “Active Directory 域 服务 ”对 话 框 。 但 此 时 如 果 可 以 确保 额外 域 控制 器 上 “全 局 编 录 ” 
服务 的 可 用 性 ， 也 可 以 单 击 “是 ”按钮 强行 转移 。 强 行 转移 此 角色 并 不 会 对 其 他 角色 的 功能 产生 影响 。 


图 3-11 “基础 结构 ”选项 卡 图 3-12 “Active Directory 域 服务 ”对 话 框 


(2] 转移 “Active Directory 域 和 信任 关系 ”中 的 操作 主机 角色 
@ 在 主 域 控制 器 上 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 域 和 信任 关系 ”选项 ， 
打开 如 图 3-13 所 示 的 窗口 。 


Ae 域 和 信任 关系 


图 3-13 “Active Directory 域 和 信任 关系 ”窗口 
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回 右 击 “Active Directory 域 和 信任 关系 ”， 选 择 快捷 菜单 中 的 “操作 主机 ”命令 ， 显 示 如 图 3-14 
所 示 的 “操作 主机 ”对 话 框 。“ 域 命名 操作 主机 ”默认 仍 是 原来 的 主 域 控制 器 名 称 。 
图 单 击 “ 更 改 ” 按 钮 ， 显 示 如 图 3-15 所 示 的 “Active Directory 域 和 信任 关系 ”对 话 框 。 


图 3-14 “操作 主机 ”对 话 框 图 3-15 “Active Directory 域 和 信任 关系 ”对 话 框 


图 单 击 “ 是 ”按钮 确认 ， 即 可 成 功 转移 域 命名 主机 ， 显 示 如 图 3-16 所 示 的 结果 。 
(3] 转移 “Active Directory 架构 ”中 的 操作 主机 角色 
在 Windows Server 2003/2008 域 中 ， 默 认 情 况 下 并 没有 将 Active Directory 架构 注册 到 系统 中 ， 因 此 
进行 架构 查看 和 操作 之 前 ， 必 须 先 进行 注册 。 转 移 “Active Directory 架构 ”中 的 操作 主机 角色 的 主要 操作 
步骤 如 下 。 
@ 在 主 域 控制 器 上 ， 单 击 “ 开 始 ”按钮 ， 在 “开始 搜索 ”文本 框 中 ， 输 入 regsvr32 schmmgmt.dll 
并 按 Enter 键 ， 在 系统 中 注册 schmmgmt.dll 组 件 ， 成 功 后 显示 如 图 3-17 所 示 的 对 话 框 。 直 接 单 
击 “ 确 定 ” 按 钮 关闭 即 可 。 


主机 


图 3-16 成 功 转移 域 命名 角色 图 3-17 注册 schmmgmt.dll 组件 


@ 在 “开始 ”菜单 的 “开始 搜索 ”文本 框 中 输入 “MMC” 并 按 Enter 键 ， 打 开 如 图 3-18 所 示 的 “ 控 
制 台 ”窗口 ， 为 了 便于 管理 ， 可 以 借助 这 种 方法 将 注册 成 功 的 “Active Directory 架构 ”添加 到 控 
制 台 中 。 

图 依次 选择 “文件 ”一 “添加 /删除 管理 单元 ”命令 ， 打 开 “ 添 加 或 删除 管理 单元 ”对 话 框 ， 在 “可 
用 的 管理 单元 ”列表 中 选择 “Active Directory 架构 ”组 件 ， 并 单 击 “ 添 加 ”按钮 将 其 添加 到 “所 
选 管理 单元 ”列表 中 ， 如 图 3-19 所 示 。 注 册 schmmgmt.dll 组 件 之 前 ， 是 不 会 出 现 该 组 件 的 。 

图 单 击 “ 确 定 ” 按 钮 保存 设置 并 退出 ， 显 示 如 图 3-20 所 示 的 窗口 ， 即 可 看 到 成 功 添加 到 控制 台中 的 

“Active Directory 架构 ”管理 单元 。 
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图 3-18 “控制 台 ” 窗 口 


Aetive Direetery 用 户 和 和 . 
Active Directery 域 和 入- 
局 Active Directory 站 点 和 服务 


图 3-19 “添加 或 删除 管理 单元 ”对 话 框 


回 右 击 “Active Directory 架构 ”， 选 择 快捷 菜单 中 的 “更 改 Active Directory 域 控制 器 ”选项 ， 显 
示 如 图 3-21 所 示 的 “更 改 目录 服务 器 ”对 话 框 。 选 择 “ 此 域 控制 器 或 AD LDS 实例 ” 单 选 按钮 ， 
并 单 击 “tianjl.coolpen.net( 额 外 域 控制 器 计算 机 名 称 ]”。 单 击 “ 确 定 ”按钮 连接 到 额外 域 控 制 器 。 

再 次 右 击 “Active Directory 架构 ”， 选 择 快捷 菜单 中 的 “操作 主机 ”命令 ， 显 示 如 图 3-22 所 示 
的 “更 改 架 构 主 机 ”对 话 框 。 

@ 单 击 “ 更 改 ” 按 钮 ， 完 成 更 改 架构 主机 的 转移 。 
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图 3-20 “Active Directory 架构 ”被 添加 到 控制 台中 


图 3-21 “更 改 目录 服务 器 ”对 话 框 图 3-22 “更 改 架构 主机 ”对 话 框 


3.1.3 ”功能 级 别 


在 Windows Server 2008 域 环境 中 ， 域 功能 级 别 的 设置 将 直接 影响 本 地 域 控制 器 的 兼容 范围 和 功能 扩 
展 ， 但 不 会 影响 到 同一 目录 林 中 的 其 他 域 。Windows Server 2008 Active Directory 域 共有 3 种 域 功能 级 别 
可 供 选择 。 
”Windows 2000 混合 模式 : 类 似 于 Windows 2000 Active Directory 的 “混合 模式 ”， 可 以 兼容 
Windows 2000 Server、Windows NT Server 和 Windows Server 2003 域 控 制 器 。 
和 Windows Server 2003: 只 能 运行 兼容 Windows Server 2003 域 服务 器 ,但 可 以 享受 Windows 
Server 2003 Active Directory 域 所 提供 的 完整 特性 和 功能 ， 以 及 Windows 2000 混合 模式 的 域 
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功能 。 
至。 Windows Server 2008: 可 以 提供 所 有 默认 的 Active Directory 功能 ， 兼 容 Windows Server 2003 
域 服务 器 功能 ， 这 是 Windows 域 的 最 高 功能 级 别 。 
1. 域 功能 级 别提 升 
默认 状态 下 ， 无 论 是 Windows Server 2003 还 是 Windows Server 2008 域 的 功能 级 别 都 是 Windows 
2000 混合 模式 ， 这 主要 是 为 了 兼容 网 络 中 早期 版 本 的 Windows 用 户 。 随 着 网 络 中 计算 机 系统 的 不 断 升级 ， 
可 以 根据 需要 提升 域 控制 器 的 功能 级 别 ， 以 获得 更 多 的 功能 支持 。 将 Windows Server 2008 域 功能 级 别 从 
Windows 2000 混合 模式 提升 为 Windows Server 2003 模式 ， 主 要 操作 步骤 如 下 。 
@ ”依次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 域 和 信任 关系 ”选项 , 显示 “Active Directory 
用 户 和 计算 机 ”窗口 ， 如 图 3-23 所 示 。 


Defenlt contsiner fo ， 
Defeslt contsiner fo 
Dafwalt contsiner fo 
Defunlt contsiner fo 


图 3-23 “Active Directory 用 户 和 计算 机 ”窗口 


回 右 击 域名 coolpen.net, 选择 快捷 菜单 中 的 “ 提 
升 域 功能 级 别 ” 命 令 ， 出 现 如 图 3-24 所 示 的 
“提升 域 功能 级 别 ” 对 话 框 ， 在 “选择 一 个 可 
用 的 域 功 能 级 别 ” 下 拉 列 表 框 中 ， 选 择 
Windows Server 2003 选项 。 由 于 当前 级 别 模 
式 为 Windows 2000 纯 模 式 ， 所 以 只 能 选择 
Windows Server 2003 或 Windows Server 
2008。 
@ 单 击 “提升 "按钮, 显示 如 图 3-25 所 示 的 “ 提 
升 域 功 能 级 别 ” 对 话 框 。 
@ 单 击 “ 确 定 ” 按 钮 ， 开 始 提 升 域 coolpen.net 
的 功能 级 别 ， 提 升 完成 显示 如 图 3-26 所 示 的 “提升 域 功能 级 别 ” 信 息 提示 框 。 


图 3-24 “提升 域 功能 级 别 ” 对 话 框 
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i 人 
本 [二 | a 
图 3-25 “提升 域 功能 级 别 ” 对 话 框 图 3-26 “提升 域 功能 级 别 ” 信 息 提示 框 


回 单 击 “ 确 定 ” 按 钮 ， 完 成 域 功能 级 别 的 提升 。 


注意 : 域 功 能 级 别提 升 是 不 可 北 的 , 一 旦 提升 到 “Windows Server 2003” 功能 级 别 , 将 不 能 回 退 到 “Windows 
2000 混合 模式 ”功能 级 别 。 


2. 林 功 能 级 别提 升 
域 林 功 能 用 于 决定 林 中 可 以 被 激活 的 功能 种 类 .Windows Active Directory 林 功能 可 分 为 如 下 3 种 级 别 。 
日 ”Windows 2000: 该 功能 级 别 与 默认 设置 下 的 “Windows 2000 域 级 别 ” 类 似 ， 是 系统 默认 的 目录 
林 功 能 级 别 ， 只 能 提供 最 基础 的 目录 林 结 构 特 性 与 功能 。 
”Windows Server 2003: 该 功能 级 别 的 目录 林 允 许 使 用 全 部 的 目录 林 特 性 和 功能 ， 但 只 能 与 
Windows Server 2003 域 兼容 。 
和 ”Windows Server 2008: Windows Server 2003 林 功 能 级 别 上 可 用 的 所 有 功能 ， 但 在 默认 情况 下 ， 
随后 添加 到 林 的 所 有 域 将 在 Windows Server 2008 域 功能 级 别 下 进行 操作 。 
默认 状态 下 ，Windows 目录 林 功 能 级 别 使 用 的 是 Windows 2000 混合 模式 ， 如 果 要 提升 到 Windows 
Server 2003 或 Windows Server 2008 林 功 能 级 别 模式 ， 必 须 先 将 网 络 的 所 有 域 控制 器 功能 级 别提 升 到 
Windows Server 2003 或 Windows Server 2008。 
@ 依次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 域 和 信任 关系 ”选项 ， 打 开 如 图 3-27 所 
示 的 “Active Directory 域 和 信任 关系 ”窗口 。 
[A Diector ， 局 和 信人 关 第 | 
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图 3-27 “Active Directory 域 和 信任 关系 ”窗口 
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加 右 击 “Active Directory 域 和 信任 关系 ”， 选 
择 快捷 菜单 中 的 “提升 林 功 能 级 别 ” 命 令 ， 显 
示 如 图 3-28 所 示 的 “提升 林 功 能 级 别 ” 对 话 
框 。 在 “选择 一 个 可 用 的 林 功 能 级 别 ” 下 拉 列 
表 框 中 选择 Windows Server 2003 即 可 。 

图 单 击 “ 提 升 ” 按钮 ， 显 示 如 图 3-29 所 示 的 “ 提 
升 林 功 能 级 别 ” 对 话 框 ， 提 示 该 提升 过 程 是 无 


法 还 原 的 。 
@ 单 击 “确定 "按钮 ,开始 提升 目录 林 coolpen net 二 
的 功能 级 别 ， 提 升 完成 后 显示 如 图 3-30 所 示 a 


的 “提升 林 功 能 级 别 ” 信 息 提示 框 。 提 示 操 作 
成 功 ， 并 会 将 新 的 林 功 能 级 别 复制 到 林 中 的 每 台 域 控制 器 上 。 
@ 


时 辣 不 


A 网 E 个 林 。 提 天 i 别 后， 全 可 能 无法 这 原 


一 喧 | 于] 


图 3-29 确认 提升 图 3-30 “提升 林 功 能 级 别 ” 信 息 提示 框 
回 单 击 “ 确 定 ”按钮 关闭 对 话 框 ， 完 成 目录 林 功 能 提升 操作 。 


© 注意 : Windows 2000 纯 模 式 和 Windows 2000 混合 模式 是 完全 不 同 的 域 功能 级 别 ，Windows Server 2003 
的 域 控制 器 安装 时 可 以 任 选 其 中 一 种 模式 ， 但 在 安装 Windows Server 2008 域 过 程 中 只 能 选择 Windows 
2000 纯 模 式 . 网 络 中 同时 包含 Windows Server 2003 域 控制 器 和 Windows Server 2008 域 控制 器 的 用 户 ， 
提升 林 功 能 级 别 时 应 注意 做 好 协调 工作 。 


3.1.4 ”信任 关系 


域 是 网 络 中 的 安全 边界 ， 通 常情 况 下 不 存在 任何 联系 的 域 之 间 ， 是 无 法 实现 资源 共享 的 。 信 任 关 系 就 
是 建立 在 域 之 间 的 逻辑 关系 ， 是 彼此 之 间 实 现 资源 共享 及 互 访 的 重要 前 提 。 通 过 信任 关系 的 建立 ， 可 以 将 
彼此 的 对 象 信息 以 某 种 方式 相互 传递 ， 使 分 布 于 不 同 域 的 用 户 可 以 实现 跨 域 登录 。 

1. 信任 传递 性 


信任 关系 的 传递 性 决定 信任 关系 是 否 可 扩展 到 建立 信任 的 两 个 域 之 外 ， 按 照 是 否 具有 可 传递 性 ， 信 任 
关系 分 为 可 传递 信任 和 非 传递 信任 。 可 传递 信任 用 于 将 信任 关系 扩展 到 其 他 域 ， 而 非 传递 信任 用 于 拒绝 与 
其 他 域 之 间 的 信任 关系 。 

(D 可 传递 信任 

任何 一 个 Windows Server 2008 或 Windows Server 2003 域 被 加 入 到 域 目录 树 后 ， 这 个 域 会 自动 信任 
其 父 域 ， 同 时 父 域 也 会 自动 信任 这 个 新 域 ， 并 且 这 些 信任 关系 是 可 以 传递 到 以 后 加 入 到 目录 树 中 的 其 他 域 
的 。 可 传递 信任 关系 将 以 域 树 形成 时 的 方向 沿 域 树 向 上 流动 ,最终 在 域 树 中 的 所 有 域 之 间 创 建 可 传递 信任 。 
如 图 3-31 所 示 是 可 传递 信任 关系 及 访问 示意 图 。 
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由 于 这 种 信任 关系 都 是 建立 在 父 域 和 子 域 之 间 的 ， 所 以 也 被 称 为 父子 信任 关系 。 除 以 这 种 方式 默认 创 
建 的 可 传递 信任 关系 外 ， 还 可 以 通过 手动 方式 创建 如 下 3 种 类 型 的 可 传递 信任 关系 。 

于 ”快捷 信任 : 在 相同 域 目录 树 或 域 目录 林 中 的 域 之 间 的 可 传递 信任 ， 用 于 缩短 大 型 复杂 的 域 树 或 林 

中 的 信任 路 径 。 

m ” 林 信 任 : 在 林 根 域 和 第 2 个 林 根 域 之 间 的 可 传递 信任 。 

里 ”领域 信任 : 在 Active Directory 域 和 Kerberos V5 领域 之 间 创 建 可 传递 信任 。 

(2] 非 传递 信任 

非 传递 信任 受信 任 关 系 中 的 两 个 域 的 约束 ， 并 不 流向 林 中 的 任何 其 他 域 。 此 时 用 户 也 将 无 法 访问 到 没 
有 直接 建立 信任 关系 的 域 ， 如 图 3-32 所 示 。 


公 人 A 


网 a 


图 3-31 可 传递 信任 关系 图 3-32 非 传递 信任 关系 


非 传递 域 信任 是 以 下 各 项 之 间 唯 一 的 信任 关系 形式 : 

日 Windows Server 2008 域 、Windows Server 2003 域 、Windows NT 域 彼此 之 间 。 

里 ”一 个 林 中 的 Windows Server 2008 域 和 其 他 林 中 的 某 个 域 ( 当 没 有 被 林 信任 连接 时 ] 。 

管理 员 可 以 使 用 手动 方式 创建 下 列 非 传递 信任 : 

时 “外 部 信任 ， 在 单个 Windows 域 之 间 ， 或 不 同 林 的 Windows 域 之 间 创 建 的 非 传递 信任 关系 。 

和 ”领域 信任 ， 在 Windows Active Directory 域 和 Kerberos V5 领域 之 间 的 非 传 递 信 任 。 

2. 信任 方向 

“信任 域 ” 和 “受信 任 域 ”是 信任 关系 中 的 两 个 主体 ， 信 任 方向 就 是 决定 彼此 之 间 的 信任 方式 ， 通 常 
以 箭头 表示 。 信 任 方向 的 分 配 将 直接 影响 到 用 于 身份 验证 的 路 径 ， 信 任 路 径 则 是 身份 验证 请 求 必须 符合 域 
之 间 的 一 系列 信任 关系 。 信 任 方向 可 以 分 为 单 向 信任 和 双向 信任 。 

(了) 单 向 信任 

单 向 信任 是 两 个 域 之 间 创 建 的 单 向 身份 验证 路 径 ， 即 受信 任 域 中 的 用 户 账户 可 以 使 用 信任 域 上 的 身份 
验证 方式 ， 并 访问 域 中 的 资源 ， 但 反之 则 无 法 实现 。 如 图 3-33 所 示 是 单 向 信任 关系 示意 图 。 

(2) 双向 信任 

默认 情况 下 ，Windows Server 2008 和 Windows Server 2003 林 中 的 所 有 域 信任 关系 都 是 双向 、 可 传 
递 的 。 创 建新 的 子 域 时 ， 双 向 可 传递 信任 在 新 的 子 域 和 父 域 之 间 自 动 建立 ， 这 意味 着 身份 验证 请 求 可 按 两 
种 方向 在 两 个 域 之 间 传 递 。 如 图 3-34 所 示 为 双向 信任 关系 示意 图 。 
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图 3-33 单 向 信任 关系 图 3-34 双向 信任 关系 


Windows Server 2003 可 以 建立 与 下 列 各 域 之 间 的 单 向 或 双向 信任 : 
同一 林 中 的 Windows Server 2003 域 。 

不 同 林 中 的 Windows Server 2003 域 。 

Windows NT 4.0 域 。 

Kerberos V5 领域 。 


3. 信任 安全 规划 


在 默认 状态 下 ,在 使 用 “Active Directory 安装 向 导 ” 创 建 域 的 同时 ， 系 统 会 自动 创建 默认 的 信任 关系 、 
父子 信任 和 域 间 信任 。 除 此 之 外 ， 用 户 根据 需要 创建 信任 关系 之 前 ， 必 须 做 好 详细 规划 ， 以 免 实 施 之 后 导 
致 不 必要 的 网 络 安全 威胁 ， 通 常 应 考虑 如 下 因素 。 

(了) 何 时 创建 快捷 信任 

快捷 信任 是 当 系 统管 理 员 需 要 优化 身份 验证 过 程 时 ， 可 以 使 用 单 向 或 双向 可 传递 信任 。 身 份 验证 要 求 
必须 首先 通过 域 树 之 间 的 信任 路 径 ， 在 复杂 的 林 中 ， 验 证 的 时 间 会 很 长 ， 执 行 的 效率 会 很 低 。 快 捷 信 任 可 
以 缩短 该 信任 验证 的 时 间 。 信 任 路 径 是 为 了 传递 任何 两 个 域 之 间 的 身份 验证 请 求 而 必须 遍历 的 一 系列 的 域 
信任 关系 。 

当 某 个 域 中 经 常 有 许多 用 户 登 录 林 中 的 其 他 域 时 ， 有 必要 使 用 快捷 信任 。 快 捷 信 任 可 有 效 地 缩短 在 两 
个 不 同 树 中 的 域 之 间 进 行 身份 验证 所 要 经 过 的 路 径 。 

里 ”使 用 单 向 信任 : 建立 在 不 同 域 树 中 的 两 个 域 之 间 的 单 向 快捷 信任 ， 可 以 减少 完成 身份 验证 请 求 所 

需 的 时 间 ， 但 只 能 在 一 个 方向 上 传递 。 
里 使 用 双向 信任 : 建立 在 不 同 域 树 中 的 两 个 域 之 间 的 双向 快捷 信任 ， 可 以 减少 完成 源 自 其 中 任 一 域 
的 身份 验证 请 求 所 需 的 时 间 。 

(2] 何 时 创建 林 信 任 

只 能 在 一 个 Windows Active Directory 林 的 林 根 域 和 另 一 个 Windows Active Directory 林 的 林 根 域 之 间 
创建 林 信任 ， 此 时 可 以 为 目录 林 中 的 所 有 域 控制 器 提供 一 种 单 向 或 双向 的 可 传递 信任 关系 。 

”使 用 单 向 林 信任 : 两 个 林 之 间 的 单 向 林 信任 允许 受信 任 林 的 成 员 使 用 信任 林 中 的 资源 ， 但 此 信任 

只 是 单 向 的 。 
里 ”使 用 双向 林 信任 : 两 个 林 之 间 的 双向 林 信 任 允许 任 一 个 林 的 成 员 使 用 另 一 个 林 中 的 资源 ， 每 个 林 
中 的 域 隐 式 信任 另 一 个 林 中 的 域 。 
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4. 创建 信任 关系 


创建 信任 关系 可 以 帮助 用 户 扩展 网 络 应 用 范围 ， 实 现 更 广 资源 的 集中 管理 和 应 用 。 当 网 络 中 有 多 个 不 
同 的 域 时 ， 想 要 让 每 个 用 户 可 以 自由 地 访问 网 络 中 的 每 台 服务 器 (不 管 是 否 属于 这 个 用 户 所 属 的 域 ] 时 ， 这 
些 域 之 间 就 需要 创建 信任 关系 。 本 案例 的 实验 环境 中 包括 两 台 彼 此 独立 的 主 域 控制 器 : coolpen.net 和 
hsnc.cn，IP 地 址 分 别 为 192.168.1.21 和 192.168.1.25。 

(D 在 其 中 一 台 域 控制 器 (本 例 为 coolpen.net) 上 执行 如 下 操作 

@ 依次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 域 和 信任 关系 ”选项 ， 显 示 如 图 3-35 所 

示 的 “Active Directory 域 和 信任 关系 ”窗口 。 

EDITZITTTTTTTSTEE 
文件 中 ”操作 内 ”查看 MW 帮助 00 


中 | 日 | 宫 
[ 国 wavs nireciory OR [ 
015 


Active Directory 域 .- 


更 多 操作 


图 3-35 “Active Directory 域 和 信任 关系 ”窗口 


回 ” 右 击 域名 coolpen.net， 选 择 快捷 菜单 中 的 “属性 ”命令 ,打开 “coolpen.net 属性 ”对 话 框 ， 单 击 

“信任 ”标签 切换 至 如 图 3-36 所 示 的 “信任 ”选项 卡 。 目 前 ， 该 域 中 包含 一 个 子 域 

hengshui.coolpen.net， 自 动 创建 了 信任 关系 ， 所 以 显示 在 列表 中 。 

单 击 “ 新 建 信任 ”按钮 ， 弹 出 “新 建 信任 关系 向 导 ” 对 话 框 ， 如 图 3-37 所 示 。 

单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 3-38 所 示 的 “信任 名 称 ” 界 面 。 在 “名 称 ” 文 本 框 中 ， 输 入 想 要 

与 之 建立 信任 关系 的 域 控制 器 名 称 hsnccn， 也 可 以 使 用 对 方 的 NetBIOS 名 称 hsnc。 

回 单 击 “ 下 一 步 ” 按钮， 显示 如 图 3-39 所 示 的 “信任 方向 ”界面 ， 可 根据 需要 选择 信任 关系 的 方向 ， 
系统 默认 选择 “双向 ” 单 选 按钮 。 如 果 两 台 域 控制 器 的 功能 和 安全 级 别 有 所 不 同 ， 建 议 选择 单 向 
信任 。 单 向 信任 可 以 划分 为 “ 单 向 : 内 传 ” 和 “ 单 向 : 外 传 ”， 分 别 表示 该 域 中 的 用 户 可 以 在 指 
定 的 域 、 领 域 、 域 林 中 得 到 身份 验证 ， 指 定 域 、 领 域 或 域 林 的 用 户 可 以 在 该 域 中 得 到 身份 验证 ， 
这 两 种 情况 均 是 单 向 信任 。 

@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 3-40 所 示 的 “信任 方 ” 界 面 。 如 果 管 理 员 具有 每 个 域 的 相应 管理 
权限 ， 则 可 以 通过 选择 “此 域 和 指定 的 域 ” 单 选 按 钮 ， 同 时 创建 双方 外 部 信任 ， 否 则 选择 “只 是 
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这 个 域 ” 单 选 按钮 ， 由 对 方 域 控制 器 的 管理 员 完 成 相应 的 操作 即 可 。 


属性 


欢迎 使 用 新 建 信任 向 导 
此 向 号 帮助 您 在 这 个 域 和 以 下 任 一 项 创建 信任 关系 ; 


，。 在 此 林 或 另 一 个 林 中 的 Windows 域 。 
indors 了 T 4.0 域 。 
，。 Kerberos YS5 领域 信任 。 


We 


车 要 继续 ， 请 单 击 “ 下 一 步 ”。 


图 3-36 “信任 ”选项 卡 图 3-37 “新 建 信任 向 导 ” 对 话 框 


图 3-38 “信任 名 称 ” 界 面 图 3-39 “信任 方向 ”界面 


如 果 在 两 个 域 中 都 有 适当 的 权限 ， 您 可 以 B 轨 双方 信任 关系 。 


图 3-40 “信任 方 ”界面 


2 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-41 所 示 的 “用 户 名 和 密码 ”界面 ， 在 “用 户 名 ”和 “密码 ” 文 
本 框 中 ， 分 别 输入 域 控制 器 hsnc.cn 上 的 管理 员 账 户 及 密码 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-42 所 示 的 “选择 信任 完毕 ”界面 ， 提 示 当 前 所 作 的 信任 关系 设 
置 。 单 击 “ 上 一 步 ”按钮 ， 可 以 返回 ， 重 新 修改 设置 。 


用户 名 和 密码 选择 信任 完毕 
要 他 肆 这 个 信任 关系 ， 您 必 须 有 这 个 域 的 管理 权限 * 歉 建 信 住 同 吨 已 准备 好 曙 建 信任。 
指定 的 域 : hsne 您 选择 了 下 列 信任 设置 加 ): 
键入 在 指定 域 中 有 管理 权限 的 帐户 的 用 户 名 生 至。 本 
用 户 名 0D: Gan 可 | 网 和 和， 指定 域 中 的 用 广 也 


密 碍 中) CO 任 类 型 : 外 部 


Ld 


要 对 这 个 信任 灶 行 更 改 , 请 单 击 “" 上 一 步 ”。 要 创建 信任 ,请 单 击 “ 下 一 步 ”。 


mn | mh | 
图 3-41 “用 户 名 和 密码 ”界面 图 3-42 “选择 信任 完毕 ”界面 


@ 单 击 “ 下 一 步 ”按钮 ， 开 始 创建 信任 关系 ， 完 毕 后 显示 如 图 3-43 所 示 的 “信任 创建 完毕 ”界面 。 
创建 完毕 后 ， 还 可 继续 对 该 信任 关系 的 某 些 选项 进行 配置 ， 根 据 创建 过 程 中 选择 选项 的 不 同 ， 配 
置 选项 也 会 有 所 不 同 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-44 所 示 的 “确认 传 出 信任 ”界面 ， 由 于 当前 只 是 在 其 中 一 台 域 
控制 器 上 进行 创建 信任 关系 操作 ， 只 有 在 另 一 台 域 控制 器 上 进行 同样 操作 后 方 可 完成 信任 关系 的 
创建 ， 所 以 此 时 无 法 进行 信任 传 出 验证 ， 选 择 “ 和 否 ， 不 要 确认 传 出 信任 ” 单 选 按钮 即 可 。 


信任 创建 完毕 
成 功 闻 键 信任 关系 * 


要 确认 传 出 信任 137 
个 否 , 不 要 确认 传 出 信任 DO) 
三 是， 确认 传 出 信任 


要 配置 新 建 信任 ,请 单 击 “ 下 一 步 ”。 


mn | 


图 3-43 “信任 创建 完毕 ”界面 图 3-44 “确认 传 出 信任 ”界面 


@@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-45 所 示 的 “确认 传 入 信任 ”界面 ， 同 样 选 择 “和 否 ， 不 确认 传 入 
信任 ” 单 选 按钮 即 可 。 


忌 提示 : 如 果 创 建 信任 关系 过 程 中 选择 的 是 “ 单 向 : 传 出 ”或 者 “ 单 向 : 传 入 ”信任 方式 ， 则 配置 过 程 中 
就 不 会 同时 出 现 “ 确 认 传 入 信任 ”和 “确认 传 出 信任 ”界面 。 
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四 we 


多 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-46 所 示 的 “正在 完成 新 建 信任 向 导 ” 界 面 ， 提 示 创 建 信任 关系 
成 功 。 


EFI 


正在 完成 新 建 信任 向 导 


您 已 成 功 完成 新 建 信任 向 导 
改动 杖 态 BE)- 


图 3-45 “确认 传 入 信任 ”界面 图 3-46 “正在 完成 新 建 信任 向 导 ” 界 面 


如 单 击 “ 完 成 ”按钮 关闭 “新 建 信任 向 导 ” 对 话 框 ， 打 开 如 图 3-47 所 示 的 “Active Directory 域 服 
务 ”对 话 框 ,提示 已 经 启用 SID( 安 全 识别 符 ] 筛 选 功能 。SID 筛选 用 于 防止 可 能 试图 将 提升 的 用 户 
权限 授予 其 他 用 户 账户 的 恶意 用 户 攻 击 。 强 制 SID 筛选 不 会 阻止 同一 林 中 的 域 迁移 使 用 SID 历史 
记录 ， 而 且 也 不 会 影响 全 局 组 的 访问 控制 策略 。 对 外 部 信任 关系 而 言 ，SID 筛选 功能 会 影响 以 下 
两 个 区 域 中 的 现 有 Active Directory 基础 结构 : 

里 将 会 从 受信 域 发 出 的 身份 验证 请 求 中 删除 SID 历史 数据 ， 这 些 SID 历史 数据 包含 除 该 受信 域外 的 
所 有 域 中 的 SID。 这 会 导致 拒绝 访问 具有 用 户 旧 SID 的 资源 。 

里 林 问 通用 组 访问 控制 的 策略 将 需要 更 改 。 

人 史 单 击 “ 确 定 ”按钮 ， 返 回 “coolpennet 属性 ”对 话 框 ， 新 创建 的 信任 关系 已 经 显示 在 列表 中 ， 如 
图 3-48 所 示 。 


图 3-47 “Active Directory 域 服务 ”对 话 框 图 3-48 创建 成 功 的 信任 关系 


(2) 在 另 一 台 域 控制 器 (本 例 中 的 hsnccm] 上 ， 执 行 如 下 操作 
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@ 打开 “Active Directory 域 和 信任 关系 ”窗口 ， 右 击 域名 hsnccn， 选 择 快捷 菜单 中 的 “属性 ” 命 
令 ， 打 开 “hsnccn 属性 ”对 话 框 ， 切 换 至 如 图 3-49 所 示 的 “信任 ”选项 卡 ， 默 认 已 经 显示 了 刚 
刚 创 建 的 信任 关系 。 


图 3-49 “hsnc.cn 属性 ”对 话 框 


昌 提示 : 如 果 创 建 的 是 单 向 信任 关系 ， 则 已 创建 的 信任 关系 只 会 出 现在 “ 受 此 域 信任 的 域 (外 向 信任 )” 或 “此 
域 信任 的 域 (内 向 信任 )” 中 的 一 个 列表 框 中 ， 但 确认 创建 信任 关系 的 操作 步骤 与 双向 信任 完全 相同 。 


@ 在 “ 受 此 域 信任 的 域 (外 向 信任 )” 列 表 框 中 ， 选 择 “coolpen.net” 并 单 击 其 右 侧 的 “属性 ”按钮 ， 
打开 “coolpen.net 属性 ”对 话 框 ， 如 图 3-50 所 示 。 

图 单 击 “验证 ”按钮 ， 显 示 如 图 3-51 所 示 的 “Active Directory 域 服务 ”对 话 框 ， 验 证 信任 传 入 方 
向 时 ， 必 须 有 对 方 域 控制 器 的 管理 员 权 限 。 选 择 “是 ， 验 证 传 入 信任 ” 单 选 按钮 ， 并 在 “用 户 名 ” 
下 拉 列 表 框 和 “密码 ”文本 框 中 ， 分 别 输入 域 控制 器 coolpen.net 上 的 管理 员 账户 名 称 和 密码 。 

图 单 击 “确定 ”按钮 ， 完 成 传 入 信任 验证 之 后 ， 还 需要 单 击 “ 信 任 此 域 的 域 (内 向 信任 ]” 列 表 框 右 
侧 的 “属性 ”按钮 ， 执 行 同样 操作 ， 以 完成 传 出 信任 的 验证 。 

回 ” 域 属性 对 话 框 的 “身份 验证 ”选项 卡 中 ， 还 可 以 对 于 用 户 在 各 个 域 上 执行 的 身份 验证 方式 进行 选 
择 ， 在 如 图 3-52 所 示 的 “coolpen.net 属性 ”对 话 框 中 ， 可 以 为 来 自 coolpen.net 域 的 用 户 账户 选 
择 身 份 验证 范围 。 

包括 如 下 两 种 身份 验证 方式 。 

里。 全 域 性 身份 验证 : 域 控制 器 coolpen.net 上 的 用 户 使 用 域 控制 器 hsnc.cn 上 的 资源 时 ， 需 要 通过 两 
台 域 控制 器 上 设置 的 所 有 身份 验证 方式 。 

昌 ”选择 性 身份 验证 : 域 控制 器 hsnc.cn 将 不 会 对 来 自 域 控制 器 coolpen.net 的 用 户 访问 进行 任何 身份 
验证 ， 对 hsnc.cn 下 属 子 域 同样 具有 不 受 身份 验证 的 “特权 ”。 


至 此 ， 两 台 域 控制 器 之 间 即 可 成 功 建立 信任 关系 ， 这 两 个 域 的 用 户 即 可 以 自由 访问 另外 一 个 域 的 信息 
E115. 
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(如 果 选 择 单 向 信任 则 另 当 别论 ]。 如 图 3-53 所 示 ， 是 一 台 加 入 域 控制 器 coolpen.net 主机 名 为 coolpen-c8 
的 计算 机 的 登录 窗口 ， 在 “登录 到 ”下 拉 列 表 中 显示 了 本 地 计算 机 、 域 控制 器 coolpen.net 以 及 其 所 有 信任 
的 域 ， 用 户 可 根据 需要 选择 登录 到 的 对 象 。 


图 3-50 “coolpen.net 属性 ”对 话 框 图 3-51 “Active Directory 域 服务 ”对 话 框 


Windows 


Professional 


图 3-52 “身份 验证 ”选项 卡 图 3-53 “登录 到 Windows” 窗 口 


3.1.5 ”权限 委派 


委派 是 Active Directory 最 重要 的 安全 功能 之 一 , 用 于 将 某 一 功能 的 处 理 和 管理 的 责任 , 分 配给 另 一 个 
用 户 、 组 或 组 织 单位 。 通 过 委派 管理 ， 可 以 为 适当 的 用 户 和 组 指派 一 定 范围 的 管理 任务 ， 这 样 不 仅 可 以 减 
少 需要 具有 较 高 管理 权限 的 管理 员 用 户 账户 数量 , 还 可 以 为 普通 用 户 和 组 指派 基本 管理 任务 , 而 让 Domain 
Admins 和 Enterprise Admins 组 的 成 员 执行 域 范围 和 林 范 围 的 管理 。 通 过 委派 管理 ， 可 以 使 组 织 内 的 组 更 
多 地 控制 他 们 的 本 地 网 络 资源 。 还 可 以 通过 限制 管理 员 组 的 成 员 ， 保 护 网 络 不 受 意外 或 恶意 的 损伤 。 通 过 
委派 ， 让 信任 用 户 可 以 在 一 个 特定 容器 内 改变 属性 、 创 建 或 删除 某 种 类 型 的 对 象 以 及 更 改革 种 类 型 对 象 的 
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某 些 属性 等 。 
1. 权限 委派 概述 


通过 在 域 中 创建 组 织 单位 ， 并 将 特定 组 织 单位 的 管理 控制 权 委派 给 特定 用 户 或 组 ， 可 将 管理 控制 权 委 
派 给 域 树 的 任何 层次 。 通 常情 况 下 ， 可 以 向 以 下 Active Directory 容器 委派 管理 权限 : 

”组 织 单位 。 

= 域 。 

站点。 

(CD 域 和 组 织 单位 委派 

在 Windows Server 2003 操作 系统 中 ， 管 理 员 可 以 通过 创建 多 个 组 织 单位 ， 并 将 适当 的 管理 权限 委派 
到 其 中 的 对 象 上 。 要 委派 管理 权限 ， 可 以 修改 容器 的 任意 访问 控制 列表 (DACL)， 将 对 域 或 组 织 单位 的 特定 
权限 授予 一 个 组 。 默认 情况 下 , 域 管理 员 (Domain Admins) 安 全 组 的 成 员 拥 有 对 整个 域 委派 控制 权限 。 可 以 
委派 的 日 常任 务 包括 : 
将 计算 机 加 入 域 。 
管理 组 策略 链接 。 
创建 、 删 除 和 管理 用 户 账户 。 
重 设 用 户 账户 的 密码 。 
读 取 所 有 用 户 信息 。 
创建 、 删 除 和 管理 组 。 
修改 一 个 组 的 成 员 。 
管理 打印 机 。 
创建 和 删除 打印 机 。 
管理 组 策略 链接 。 

因为 组 织 单位 用 于 管理 委派 ， 但 自身 并 不 是 安全 主管 ， 所 以 由 用 户 对 象 的 父 OU 说明 该 用 户 对 象 的 管 
理 者 。 但 并 未 说 明 这 个 特定 用 户 可 以 访问 哪些 资源 。 

(2] 站 点 委派 

使 用 “Active Directory 站 点 和 服务 ”委派 对 站 点 、 容 器 、 站 点 间 传 输 (IP 或 SMTP)] 或 子 网 的 控制 权 
这 些 实体 的 委派 控制 使 受 委派 的 管理 员 能 够 管理 这 些 实体 ， 但 并 未 赋予 管理 员 管 理 该 实体 内 用 户 或 计算 机 
的 能 力 。 

例如 ， 当 委派 对 一 个 站 点 的 控制 权时 ， 既 可 以 委派 对 所 有 对 象 的 控制 权 ， 也 可 以 委派 对 该 站 点 上 的 一 
个 或 多 个 对 象 的 控制 权 。 可 以 委派 控制 权 的 对 象 包括 用 户 对 象 、 计 算 机 对 象 、 组 对 象 、 打 印 机 对 象 、 部 门 
对 象 、 共 享 文件 夹 对 象 、 站 点 对 象 、 站 点 链接 对 象 、 站 点 链接 桥 对 象 等 。 然 后 ， 就 会 提示 选择 要 委派 权限 
的 范围 (常规 、 属 性 特有 的 或 仅仅 是 特定 子 对 象 的 创建 或 删除 ]。 如 果 指 定 的 是 常规 范围 ， 则 会 提示 授予 以 
下 一 个 或 多 个 权限 : 完全 控制 、 读 取 、 写 入 、 创 建 所 有 子 对 象 、 删 除 所 有 子 对 象 、 读 取 所 有 属性 或 写 入 所 
有 属性 。 


2. 权限 委派 
管理 员 可 以 通过 如 下 两 种 方式 实现 权限 委派 。 
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(CD 安全 组 权限 委派 
在 Windows Server 2003 或 Windows Server 2008 域 控制 器 安装 过 程 中 , 默认 已 经 创建 了 多 个 安全 组 ， 
如 Administrators、Domain Admins 等 ， 这 些 组 中 的 成 员 通常 拥有 执行 整个 域 或 本 地 域 控 器 上 某 些 安全 操 
作 的 权限 。 系 统 默认 安全 组 的 成 员 ， 通 常情 况 下 不 宜 轻 易 更 改 ， 以 免 影响 系统 安全 。 如 遇 特 殊 情 况 需 要 增 
加 安全 管理 员 数 量 时 ， 可 以 自 定义 新 的 安全 组 ， 并 将 安全 控制 权限 委派 给 该 组 ， 主 要 操作 步骤 如 下 。 
@ ”依次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”选项 , 打开 “Active Directory 
用 户 和 计算 机 ”窗口 ， 选 择 目标 组 织 单位 ， 并 新 建 一 个 安全 组 ， 如 图 3-54 所 示 。 在 “组 作用 域 ” 
选项 区 域 中 ， 选 择 “ 全 局 ” 单 选 按钮 ， 在 “组 类 型 ”选项 区 域 中 选择 “安全 组 ” 单 选 按钮 。 


图 3-54 ”新 建安 全 组 


@ 单 击 “ 确 定 ”按钮 ， 完 成 安全 组 的 创建 。 右 击 该 安全 组 并 选择 快捷 菜单 中 的 “属性 ”命令 ， 打 开 
安全 组 属性 对 话 框 ， 切 换 至 如 图 3-55 所 示 的 “安全 ”选项 卡 。 


图 3-55 “账户 安全 管理 属性 ”对 话 框 


[118 1 


第 3 章 活动 目录 安全 


提示 : 如 果 打开 的 组 属性 对 话 框 中 ， 没 有 “安全 ”选项 卡 ， 可 以 在 “Active Directory 用 户 和 计算 机 ” 窗 
口中 ， 依 次 选择 “查看 ”一 “高 级 功能 ”命令 使 其 显示 ， 如 图 3-56 所 示 。 


图 3-56 使 用 高 级 功能 


@ 单 击 “ 高 级 ”按钮 ， 显 示 如 图 3-57 所 示 的 “账户 安全 管理 的 高 级 安全 设置 ”对 话 框 ， 可 以 查看 
可 用 于 该 对 象 的 所 有 权限 项 目 。 

图 单 击 “ 添 加 ”按钮 ， 显 示 如 图 3-58 所 示 的 “选择 用 户 、 计 算 机 或 组 ”对 话 框 ， 输 入 想 要 添加 的 组 、 
计算 机 或 用 户 的 名 称 。 


EE 


图 3-57 “账户 安全 管理 的 高 级 安全 设置 ”对 话 框 图 3-58 “选择 用 户 、 计 算 机 或 组 ”对 话 框 


回 单 击 “ 确 定 ”按钮 ， 显 示 如 图 3-59 所 示 的 “账户 安全 管理 的 权限 项 目 ” 对 话 框 。 此 处 需要 委派 
的 是 针对 用 户 账户 安全 管理 的 权限 ， 如 更 改 密码 、 重 设 密码 等 ， 所 以 需要 在 “应 用 于 ”下 拉 列 表 框 中 
选择 “后 代 用 户 对 象 ”， 并 在 “权限 ”列表 框 中 ， 选 中 “更 改 密码 ”和 “ 重 置 密码 ” 复 选 框 。 
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@ 单 击 “ 确 定 ”按钮 ， 即 可 完成 赋予 用 户 对 其 后 代 账 户 的 安全 密码 管理 权限 。 如 果 需 要 设置 其 他 的 
权限 ， 根 据 需要 设置 相关 的 权限 即 可 。 切 记 ， 不 要 轻易 赋予 用 户 “ 完 全 控制 ”的 权限 ! 
(2] 用 户 权限 委派 向 导 
权限 委派 向 导 是 比较 常用 的 权限 委派 方法 之 一 。 例如 ,同样 将 重 置 密码 权限 委派 给 liuxh 用 户 账户 ,可 
以 按照 如 下 步骤 操作 。 
@ 打开 “Active Directory 用 户 和 计算 机 ”窗口 , 右 击 需 要 委派 管理 权限 对 象 所 在 的 OU( 如 “测试 ”)， 
选择 快捷 菜单 中 的 “委派 控制 ”命令 ， 显 示 如 图 3-60 所 示 的 “控制 委派 向 导 ” 对 话 框 。 


的 权限 项 目 


欢迎 使 用 控制 委派 向 导 
es 


A 


车 要 继续 ， 请 单 击 “ 下 一 步 ”* 


O0000000000 


图 3-59 “账户 安全 管理 的 权限 项 目 ”对 话 框 图 3-60 “控制 委派 向 导 ” 对 话 框 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-61 所 示 的 “用 户 或 组 ”界面 。 

图 单 击 “添加” 按钮， 显示 如 图 3-62 所 示 的 “选择 用 户 、 计 算 机 或 组 ”对 话 框 ， 在 “输入 对 象 名 称 
来 选择 ”文本 框 中 输入 接受 权限 的 用 户 账户 名 称 ， 如 “liuxh”， 单 击 “确定 ” 按 钮 ， 将 其 添加 到 
“ 选 定 的 用 户 和 组 ”列表 框 中 。 


EIEN Ee 


图 3-61 “用 户 或 组 ”界面 图 3-62 “选择 用 户 、 计 算 机 或 组 ”对 话 框 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-63 所 示 的 “要 委派 的 任务 ”界面 。 在 “委派 下 列 常 见 任 务 ” 列 
表 框 中 ， 选 中 “ 重 置 用 户 密码 并 强制 在 下 次 登录 时 更 改 密码 ” 复 选 框 。 
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回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-64 所 示 的 “完成 控制 委派 向 导 ” 界 面 ， 提 示 前 面 所 设置 的 委派 
权限 信息 。 


ETEEEHB 


要 委派 的 任务 EE 
您 可 选择 常见 任务 或 和 定义 您 自己 的 任务 。 弘 完成 控制 委派 向 导 


人 
会 您 已 成 功 地 完成 控制 委派 向 导 。 


站 习 重 置 用 户 密码 并 强制 在 下 次 登录 时 更 忆 密 码 
个 创 诗 自 定义 任务 去 委派 5) 到 
项 要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 
| | sso A | 
3-63 “要 委派 的 任务 ”界面 图 3-64 “完成 控制 委派 向 导 ” 界 面 


@ 单 击 “ 完 成 ”按钮 ， 即 可 完成 委派 任务 操作 。 


3.1.6 ”只 读 域 控制 器 


只 读 域 控制 器 (RODC) 是 在 Windows Server 2008 操作 系统 中 一 种 新 的 域 控制 器 。 使 用 只 读 域 控制 器 ， 
可 以 很 容易 地 在 物理 安全 得 不 到 保证 的 地 区 部 署 域 控制 器 ， 在 只 读 域 控制 器 中 包含 活动 目录 数据 库 的 只 读 
部 分 。 

1. 只 读 ADDS 数据 库 

除 账户 密码 之 外 ，RODC 保存 了 可 写 域 控制 器 上 所 保留 的 所 有 Active Directory 对 象 和 属性 ， 但 对 存 
储 在 RODC 上 的 数据 库 只 有 读 权限 ， 不 能 进行 任何 更 改 。 如 果 想 要 更 改 这 些 数据 ， 则 必须 在 可 写 域 控制 器 
上 进行 ， 然 后 再 复制 回 RODC。 

请 求 对 目录 的 读 取 访 问 的 本 地 应 用 程序 可 以 获取 访问 权限 。 请 求 写 入 访问 的 轻型 目录 应 用 程序 协议 
(LDAP) 应 用 程序 将 接收 LDAP 引用 响应 ， 此 响应 会 被 定向 到 可 写 域 控制 器 。 

2. 单 向 复制 

可 读 写 域 控制 器 之 间 的 复制 是 双向 的 ， 而 RODC 和 可 读 写 域 控制 器 之 间 的 复制 是 单 向 的 ，RODC 通过 
分 布 式 文件 系统 (DFS) 从 可 读 写 域 控制 器 复制 数据 。 此 时 ， 恶意 用 户 在 分 支 位 置 进行 的 任何 更 改 或 损坏 ， 都 
不 能 从 RODC 复制 到 林 的 其 余部 分 。 

3. 密码 缓存 

默认 情况 下 , RODC 上 只 存储 本 地 的 计算 机 账户 和 一 个 用 于 RODC 特殊 的 Kerberos 票据 授权 (KRBTGT) 
账户 ,此 账户 被 可 读 写 域 控制 器 用 来 验证 RODC 身份 .在 可 读 写 域 控制 器 上 启用 密码 缓存 功能 , 即 可 在 RODC 
上 缓存 所 有 域 用 户 账户 。 如 果 在 RODC 上 启用 密码 缓存 ， 只 会 影响 缓存 到 本 地 计算 机 的 用 户 账户 。 

在 账户 成 功 经 过 身份 验证 后 ，RODC 将 尝试 与 中 心 站 点 中 的 可 写 域 控制 器 联系 并 请 求 获取 相应 凭据 的 
副本 。 可 写 域 控制 器 可 以 识别 出 请 求 来 自 某 个 RODC， 并 查询 对 该 RODC 有 效 的 密码 复制 策略 。 
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密码 复制 策略 确定 是 否 可 以 将 用 户 和 凭据 或 计算 机 凭据 从 可 写 域 控制 器 复制 到 RODC。 如 果 密 码 复制 策 
略 允 许 复制 赁 据 ， 则 可 写 域 控制 器 将 凭据 复制 到 RODC， 然 后 RODC 缓存 凭据 。 

在 RODC 上 缓存 凭据 后 ，RODC 即 可 直接 验证 用 户 的 登录 请 求 ， 直 到 对 凭据 进行 更 改 。 通 过 将 凭据 组 
存 ， 只 能 通过 RODC 验证 身份 的 用 户 ， 使 危害 RODC 而 使 凭据 泄露 的 可 能 性 也 得 到 限制 。 通 常情 况 下 ， 在 
任何 给 定 的 RODC 上 只 缓存 一 小 部 分 域 用 户 的 凭据 。 因 此 ， 如 果 出 现 RODC 被 穷 的 情况 ， 只 有 RODC 上 组 
存 的 那些 凭据 可 能 会 被 破解 。 

保持 凭据 缓存 处 于 禁用 状态 可 能 进一步 限制 泄露 ， 但 同时 也 可 能 使 所 有 身份 验证 请 求 被 转发 到 可 写 域 
控制 器 。 管 理 员 可 以 通过 修改 默认 密码 复制 策略 ， 允 许 在 RODC 上 缓存 用 户 凭据 。 具 体 密码 复制 策略 可 以 
在 域 控制 器 的 属性 对 话 框 中 进行 设置 ， 如 图 3-65 所 示 。 


4. 只 读 DNS 


在 实际 使 用 中 ， 建议 在 RODC 上 安装 DNS 服务 ，RODC 可 以 复制 DNS 使 用 的 所 有 应 用 程序 目录 分 区 中 
的 数据 ,包括 ForestDNSZones 和 DomainDNSZones, 支 持 客户 端 请 求 RODC 进行 名 称 解析 .如 果 已 在 RODC 
上 安装 了 DNS 服务 器 , 则 客户 端 可 以 与 查询 任何 其 他 DNS 服务 器 一 样 ， 查询 该 DNS 服务 器 以 进行 名 称 
解析 。 

但 是 , RODC 上 的 DNS 服务 器 不 直接 支持 客户 端 更 新 。 因 此, RODC 不 为 其 承载 的 任何 Active Directory 
集成 区 域 注 册 名 称 服务 器 (NS) 资 源 记 录 。 当 客户 端 尝试 根据 RODC 更 新 其 DNS 记录 时 ， 服 务 器 会 返回 一 个 
引用 。 然 后 客户 端 可 以 尝试 对 引用 中 提供 的 DNS 服务 器 进行 更 新 。 在 后 台 ，RODC 上 的 DNS 服务 器 尝试 从 
进行 更 新 的 DNS 服务 器 复制 更 新 记录 。 

5. RODC 管理 


在 可 读 写 的 域 控制 器 中 ， 本 地 管理 员 和 域 管理 员 都 可 以 管理 域 控制 器 。 而 对 于 RODC， 则 允许 一 个 普 
通 的 域 用 户 成 为 RODC 的 本 地 管理 员 ， 设 置 的 域 用 户 可 以 在 RODC 所 在 的 区 域 执行 管理 任务 ， 此 用 户 在 域 
中 或 者 任何 可 读 写 的 域 控制 器 上 没有 用 户 权利 , 仅 管理 区 域 分 支 机 构 的 权限 ,所 以 不 会 影响 Active Directory 
的 整体 安全 性 。 


6. RODC 部 署 要 求 


如 果 需 要 部 署 RODC， 在 网 络 中 必须 有 一 台 安 装 或 者 升级 到 Windows Server 2008 的 域 控制 器 。 部 署 
之 前 ， 管 理 员 应 注意 以 下 事项 : 

和 ”Active Directory 数据 库 复制 .RODC 支持 从 Windows Sever 2003 域 控制 器 复制 架构 分 区 和 配置 分 
区 的 数据 ， 但 是 RODC 只 能 从 来 自 同一 域 的 Windows Server 2008 的 可 读 写 域 控制 器 复制 域 分 区 
的 数据 更 新 。 因 此 ， 在 网 络 中 至 少 安装 一 台 Windows Server 2008 的 域 控 制 器 用 于 RODC 复制 。 

 ” 林 功 能 级 别 。 部 署 RODC 需要 森林 的 功能 级 别 最 低 为 Windows Server 2003 模式 ， 建 议 使 用 
Windows Server 2008 模式 。 用 户 可 以 通过 “Active Directory 域 和 信任 关系 ”窗口 提升 到 所 需 的 
林 功 能 级 别 。 

里。 Windows Server 2008 域 控制 器 的 角色 为 主 域 控制 器 ,否则 将 无 法 识别 RODC 使 用 的 特殊 Kerberos 
票据 授权 票 (KRBTGT) 账 户 。 

”RODC 默认 不 缓存 账户 ， 必 须 在 可 读 写 域 控制 器 上 启用 账户 缓存 功能 后 ， 才 可 以 用 于 缓存 域 用 户 
账户 。 

”RODC 安装 完成 后 ， 默 认 连 接 的 是 当前 所 有 的 可 读 写 域 控制 器 ， 必 须 在 RODC 上 通过 “更 改 域 控 
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制 器 ”使 其 连接 到 已 部 署 的 RODC 上 。 
7. 安装 RODC 


@ 选择 “开始 ”一 “运行 ”命令 , 打开 “运行 ”对 话 框 , 在 “打开 ”文本 框 中 , 输入 “Dcpromo.exe”， 
单 击 “ 确 定 ” 按 钮 。 显示 如 图 3-66 所 示 的 “Active Directory 域 服务 安装 向 导 ” 对 话 框 ,选中 “使 
用 高 级 模式 安装 ” 复 选 框 。 


奖 当 入 Active Directory 域 服务 
ER 
Direc 妆 站 “下 一 
Be b 


开 狗 用 AY 
人 他 说 


有 关 hctive Dirsstery 域 服务 的 详细 信息 


图 3-65 属性 对 话 框 图 3-66 “Active Directory 域 服务 安装 向 导 ” 对 话 框 


加 单 击 两 次 “下 一 步 ”按钮 显示 如 图 3-67 所 示 的 “选择 某 一 部 署 配置 ”界面 。 选 择 “ 现 有 林 ” 单 
选 按钮 ， 然 后 选择 “向 现 有 域 添加 域 控制 器 ” 单 选 按钮 。 

@ 单 击 “ 下 一 步 ” 按钮 ， 显示 如 图 3-68 所 示 的 “网 络 凭据 ”界面 。 因 为 这 里 本 地 计算 机 已 经 加 入 到 
域 中 , 并 且 登 录 的 账户 是 管理 员 账 户 ,所 以 选择 “我 的 当前 登录 凭据 ( 域 \ 用 户 名 )” 单 选 按钮 即 可 。 
如 果 当 前 计算 机 还 未 加 入 到 域 中 ， 可 以 选择 “备用 凭据 ” 单 选 按 钮 ， 并 单 击 “ 设 置 ” 按 钮 ， 设 置 
所 要 使 用 的 账户 。 


图 3-67 “选择 某 一 部 署 配置 ”界面 图 3-68 “网 络 凭据 ”界面 
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图 单 击 “ 下 一 步 ”按钮 ， 显示 如 图 3-69 所 示 的 “选择 一 个 域 ” 界 面 。 安 装 向 导 自 动 查找 coolpen.net 
域 的 林 根 域 。 
回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-70 所 示 的 “请 选择 一 个 站 点 ”界面 ， 保 持 默 认 值 即 可 。 


《上 - 步 四 取消 《上 - 步 四 取消 


图 3-69 “选择 一 个 域 ” 界面 3-70 “请 选择 一 个 站 点 ”界面 


@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 3-71 所 示 的 “其 他 域 控制 器 选项 ”界面 ， 选 中 “DNS 服务 器 ”和 
“只 读 域 控制 器 (RODC)” 复 选 框 。 

单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 3-72 所 示 的 “指定 密码 复制 策略 ”界面 。 ee a 
域 控制 器 缓存 到 RODC 域 控制 器 中 的 账户 。 密 码 复制 策略 决定 了 用 户 于 有 计 并 机 风 红 开 据 是 否 可 以 
从 可 写 域 控制 器 复制 到 RODC。 如 果 策 略 允 许 ， 可 写 域 控制 器 将 密码 复制 到 RODC 上 es 
缓存 用 户 或 者 计算 机 凭据 。 单 击 “ 添 加 ”按钮 ， 即 可 设置 可 以 缓存 到 RODC 域 控制 器 中 的 用 户 、 


QA 


组 和 计算 机 。 
ive Dire' y 域 服务 安装 向 导 
其 他 域 控制 器 选项 | 因 
= Te, oem “es 
于 B00C 的 任何 帐户 ， 或 您 要 拒绝 将 其 密 
组 、 胃 户 和 计算 机 人 G@): 
| hw... 
[lea 
《上 -- 步 四 [下 - 步 四 ] 了 消 Ba) TE WR 
3-71 “其 他 域 控制 器 选项 ”界面 3-72 “指定 密码 复制 策略 ”界面 
@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 3-73 所 示 的 “用 于 RODC 安装 和 管理 的 委派 ”界面 。 设 置 管理 


RODC 域 控制 器 的 管理 账户 。 如 果 多 人 具备 对 RODC 域 控制 器 的 管理 权限 ， 建 议 创建 用 户 组 ， 赋 


予 用 户 组 管理 RODC 域 控制 器 的 权限 。 
回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-74 所 示 的 “从 介质 安装 ”界面 。 设 置 缓存 账户 的 方法 ， 提 供 两 


种 缓存 类 型 ， 即 通过 域 控制 器 复制 数据 和 通过 介质 (共享 或 者 光盘 ] 复 制 。 具 体 使 用 方法 可 根据 实 
际 需 要 进行 选择 ， 这 里 选择 “通过 网 络 从 域 控制 器 复制 数据 ” 单 选 按钮 。 


扫 苑 过 汪 护 而 

e 人 ， 
人 年 四 : 
Fm 
LT 
有 关 从 媒 住 安装 的 详 细 信 息 

mA | my | 
图 3-73 “用 于 RODC 安装 和 管理 的 委派 ”界面 图 3-74 “从 介质 安装 ”界面 


四 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-75 所 示 的 “ 源 域 控制 器 ”界面 。 设 置 缓存 账户 的 源 域 控制 器 ， 

通常 情况 下 源 域 控制 器 是 域 中 的 第 一 台 域 控制 器 。 在 “ 域 控制 器 名 称 ” 列 表 中 ， 选 择 源 域 控制 

即 可 。 

四 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 3-76 所 示 的 “数据 库 、 日 志文 件 和 SYSVOL 的 位 置 ”界面 。 建 议 
将 数据 库 、 日 志文 件 和 SYSVOL 文件 夹 分 开 存储 在 不 同 的 物理 磁盘 中 。 


缆 


数据 床 、 日 志文 件 和 SYSYOL 的 位 置 
拉 区 和 全 Aetive Dirwetoy 过 机 江 直 扫 诛 、 日 志 六 伯 stswoL 的 j 


相 A 为 革 得 更 好 的 性 能 和 可 恢复 性 ， 请 半数 据 库 和 日 志文 件 存 由 在 不 同 向 上 。 
件 夹 0 
E Five Ee 
日 志文 件 文件 夫 册 ; 
Fe NO 
Err SYSVOL 文件 夹 G): 
ET EVsaons srsvor 小 四 
有 关 让 置 hctivs Diractery 十 最 条 立 件 的 详细 信息 


有 关 选 择 安 装 合作 伙伴 的 详细 信息 


《上 - 步 @) 取消 《上 - 步 @ 取消 


3-75 “ 源 域 控制 器 ”界面 图 3-76 “数据 库 、 日 志文 件 和 SYSVOL 的 位 置 ” 界面 
四 单 击 “下 一 步 ” 按 钮 ， 显 示 如 图 3-77 所 示 的 “目录 服务 还 原 模式 的 Administrator 密码 ”界面 。 
需要 注意 的 是 ， 目 录 服 务 还 原 密码 需要 使 用 符合 强 密码 策略 标准 的 密码 。 
鸟 ” 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 3-78 所 示 的 “摘要 ”界面 ， 显 示 RODC 配置 信息 。 
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ETTETETTEETT 
目录 要 务 还 原本 式 的 Aninistrater 密码 


图 3-77 “目录 服务 还 原 模式 的 Administrator 密码 ”界面 图 3-78 “摘要 ”界面 


四 单 击 “ 下 一 步 ”按钮 , 开始 安装 RODC 域 控制 器 。 安 装 完成 后 , 显示 如 图 3-79 所 示 的 “完成 Active 
Directory 域 服务 安装 向 导 ” 界 面 。 

加 单 击 “ 完 成 ”按钮 ， 关 闭 安装 向 导 ， 显 示 如 图 3-80 所 示 的 “Active Directory 域 服务 安装 向 导 ” 
提示 对 话 框 ， 提 示 管 理 员 需 要 重新 启动 计算 机 。 


乔 Acrive Directory 域 服务 安装 


图 3-79 “完成 Active Directory 域 服务 安装 向 导 ” 界 面 图 3-80 提示 管理 员 需 要 重新 启动 计算 机 
@ 单 击 “ 立 即 重新 启动 ”按钮 ， 重 新 启动 计算 机 ，RODC 域 控制 器 安装 成 功 。 
8. 添加 缓存 账户 


在 主 域 控制 器 中 ， 设 置 可 以 在 RODC 上 缓存 的 用 户 分 支 机 构 。 建 议 为 分 支 机 构 创 建 单独 的 组 织 单位 ， 
在 该 组 织 单位 下 创建 组 ， 组 的 创建 规则 建议 符合 企业 的 行政 管理 架构 ， 以 降低 管理 的 复杂 度 。 默 认 情 况 下 ， 
RODC 并 未 保存 所 有 域 用 户 账户 的 信息 ， 可 以 按照 如 下 方法 ， 将 需要 缓存 的 用 户 账户 添加 到 RODC 的 缓存 
策略 中 。 

@ 在 RODC 上 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”选项 ， 打 开 
如 图 3-81 所 示 的 “Active Directory 用 户 和 计算 机 ”窗口 。 依 次 选择 coolpen.net 一 Domain 
Controllers， 此 时 ， 即 可 查看 当前 登录 的 域 控 制 器 的 状态 为 “只 读 ”。 

@ 双击 “HSLXH” 显 示 “HSLXH 属性 ”对 话 框 ， 切 换 到 如 图 3-82 所 示 的 “密码 复制 策略 ”选项 卡 。 
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图 3-82 “密码 复制 策略 ”选项 卡 


提示 : 单 击 “高 级 ”按钮 ， 显 示 如 图 3-83 所 示 的 “以 下 项 目的 高 级 密码 复制 策略 HSLXH” 对 话 框 ， 这 

里 显示 的 是 密码 复制 策略 的 高 级 功能 ， 用 户 可 以 根据 需要 选择 使 用 。 在 “策略 使 用 率 ” 选 项 卡 的 “显示 

满足 下 列 条 件 的 用 户 和 计算 机 ”下 拉 列 表 中 ， 包 括 如 下 选项 : 

四。 选择 “其 密码 已 经 存储 在 只 读 域 控制 器 中 的 账户 ”选项 ， 除 了 RODC 自身 的 计算 机 账户 和 Kerberos 
票据 授权 (KRBTGT) 账 户 之 外 ， 默 认 情 况 下 没有 缓存 任何 账户 的 密码 。 

四 。 选择 “已 通过 此 只 读 域 控制 器 身份 验证 的 账户 ” 选项， 显示 在 RODC 进行 身份 验证 的 用 户 以 及 计算 
机 ， 通 过 此 列表 确定 允许 哪些 账户 的 密码 ， 在 此 RODC 域 控制 器 中 进行 缓存 。 


图 单 击 “ 添 加 ”按钮 ， 显 示 如 图 3-84 所 示 的 “添加 组 、 用 户 和 计算 机 ”对 话 框 。 设 置 RODC 域 控制 


器 中 允许 或 者 拒绝 缓存 的 组 、 用 户 和 计算 机 ， 这 里 选择 “人 允许 该 账户 的 密码 复制 到 此 RODC 中 ” 
单 选 按钮 。 
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图 3-83 “以 下 项 目的 高 级 密码 复制 策略 HSLXH” 对 话 框 图 3-84 “添加 组 、 用 户 和 计算 机 ”对 话 框 


图 单 击 “ 确 定 ”按钮 ， 显 示 如 图 3-85 所 示 的 “选择 用 户 、 计 算 机 或 组 ”对 话 框 ， 在 “输入 对 象 名 称 
来 选择 ”文本 框 中 ， 输 入 想 要 添加 的 域 用 户 账户 。 单 击 “ 检 查 名 称 ” 按 钮 ， 可 检查 输入 的 用 户 是 
否 正确 。 

回 单 击 “ 确 定 ”按钮 ， 关 闭 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 ， 返 回 到 “HSLXH 属性 ”对 话 框 ， 如 
图 3-86 所 示 ， 所 选用 户 账户 已 被 添加 到 列表 中 。 


图 3-85 “选择 用 户 、 计 算 机 或 组 ”对 话 框 图 3-86 “HSLXH 属性 ”对 话 框 
单 击 “ 确 定 ” 按 钮 ， 保 存 设置 即 可 。 


3.1.7 ”可 重新 启动 的 活动 目录 域 服务 


在 Windows Server 2008 中 ,可 以 重启 活动 目录 域 服务 ,而 不 用 重新 启动 域 控制 器 ,这 在 Windows 2000 
Server 和 Windows Server 2003 中 是 无 法 实现 的 ， 可 重新 启动 的 ADDS 可 减少 执行 某 些 操作 所 需 的 时 间 。 
通过 停止 ADDS， 可 以 将 更 新 应 用 到 域 控制 器 ， 或 执行 Active Directory 数据 库 脱 机 碎片 整理 等 任务 。 

在 服务 器 上 运行 不 依赖 于 ADDS 的 其 他 服务 ， 如 动态 主机 配置 协议 (DHCP)， 在 ADDS 停止 时 仍 可 用 来 
满足 客户 端 请 求 。 可 重新 启动 的 ADDS 具有 如 下 优点 : 
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第 3 章 活动 目录 安全 


和 安全 更 新 计划 者 和 管理 员 。 

和 ”ADDS 管理 团队 。 

里 AD DS 管理 员 。 

默认 情况 下 ， 可 重新 启动 的 ADDS， 在 所 有 Windows Server 2008 的 域 控制 器 上 都 是 可 用 的 。 使 用 此 
功能 不 存在 任何 功能 级 别 的 要 求 或 任何 其 他 先决 条 件 。 

在 Windows 2000 Server 操作 系统 和 Windows Server 2003 操作 系统 的 Active Directory 中 , 对 数据 库 
进行 脱 机 碎片 整理 时 ， 需 要 在 目录 服务 还 原 模式 下 重新 启动 域 控制 器 。 此 外 ， 应 用 安全 更 新 通常 也 需要 重 
新 启动 域 控制 器 。 但 是 在 Windows Server 2008 中 ， 管 理 员 可 以 停止 并 重新 启动 ADDS， 这 样 便 能 够 更 快 
速 地 执行 脱 机 ADDS 操作 。 

@ 在 “服务 ”管理 窗口 ,双击 Active Directory Domain Services, 显示 如 图 3-87 所 示 的 “Active Directory 

Domain Services 的 属性 (本 地 计算 机 ] ”对 话 框 。 

@ 单 击 “ 停 止 ”按钮 ， 显 示 如 图 3-88 所 示 的 “停止 其 他 服务 ”对 话 框 ， 在 列表 中 显示 了 与 该 服务 相 

关联 的 其 他 服务 。 


图 3-87 “Active Directory Domain Services 的 属性 (本 地 计算 机 )” 对 话 框 图 3-88 “停止 其 他 服务 ”对 话 框 


图 单 击 “ 是 ”按钮 ， 确 认 停止 服务 即 可 。 
车 要 重新 启动 该 服务 ， 在 “Active Directory Domain Services 的 属性 (本 地 计算 机 )” 对 话 框 中 单 击 “ 启 
动 ”按钮 即 可 。 


3.2 活动 目录 数据 库 


Active Directory 数据 库 是 一 个 事务 处 理 数 据 库 系统 ， 使 用 日 志文 件 存储 事务 日 志 ， 具 备 “ 回 滚 ”功能 ， 
确保 系统 发 生 异常 的 时 候 完成 数据 的 入 库 操作 。 尽 管 如 此 ， 也 应 时 刻 做 好 数据 库 信息 的 备份 操作 ， 以 免 由 
于 硬件 损坏 或 其 他 故障 导致 用 户 信息 丢失 。 

Active Directory 数据 库 相 关 的 文件 列举 如 下 。 

里。 Ntds.dit: 数据 库 文件 。Ntds.dit 会 随 着 数据 库 的 填充 而 不 断 增 大 。 但 是 ， 日 志 的 大 小 却 是 固定 的 

为 10MB。 对 数据 库 进 行 的 任何 更 改 都 会 被 追加 到 当前 的 日 志文 件 中 ， 而 且 其 磁盘 映像 会 不 断 保 
持 更 新 。 
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里 。 Edbxxxxxlog: 事务 日 志文 件 。Edb.log 是 当前 的 日 志文 件 。 对 数据 库 进 行 更 改 后 ， 将 该 更 改写 入 
到 Edb.log 文件 中 。 当 Edb.log 文件 充满 事务 之 后 ， 会 被 重新 命名 为 Edbxxxxxlog， 日 志文 件 从 
Edb00001 开始 ， 并 使 用 十 六 进 制 累加 。 由 于 Active Directory 使 用 循环 记录 ， 所 以 在 旧 日 志文 件 
写 入 数据 库 之 后 ， 这 些 旧 日 志文 件 会 及 时 删除 。 在 任何 时 刻 都 可 以 找到 Edb.log 文件 ， 而 且 还 可 
能 有 一 个 或 多 个 Edbxxcxxx.log 文件 。 

和 ”Edb.chk: 检查 点 文件 。Edb.chk 文件 存储 数据 库 的 检查 点 ， 这 些 检 查 点 标识 数据 库 引擎 需要 重复 
播放 日 志 的 点 ， 通 常 在 恢复 或 初始 化 时 。 

昌 ”Resllog、Res2.log: 预 留 的 日 志文 件 。Resl.log 和 Res2.log 是 磁盘 空间 占用 文件 ， 用 来 在 存储 日 
志文 件 的 驱动 器 上 预 留 最 后 的 20MB 磁盘 空间 。 这 是 为 了 给 日 志文 件 提供 足够 的 空间 ， 以 便 在 其 
他 所 有 磁盘 空间 都 已 使 用 的 情况 下 可 以 正常 关机 。 


提示 : 为 了 提高 Active Directory 服务 的 性 能 和 安全 ， 建 议 将 日 志文 件 存储 在 数据 库 所 在 磁盘 以 外 的 其 他 
磁盘 上 。 


3.2.1 设置 目录 数据 库 访问 权限 


默认 情况 下 ， 所 有 具有 管理 员 权限 的 账户 都 可 以 访问 目录 数据 库 CEaarzemssssssssggggzl 
所 在 的 文件 夹 。 为 了 确保 目录 数据 库 不 被 恶意 删除 或 修改 ， 建 议 将 该 一 -一 ”一 


则 龟 各 于。 5 VinaevsNTDS 


目录 访问 权限 设置 为 仅 有 指定 的 用 户 可 以 访问 ， 非 授权 用 户 禁 止 访问 
Active Directory 数据 库 所 在 的 目录 。Active Directory 数据 库 的 默认 保 
存 路 径 为 C:\Windows\NDTS\。 
中 在 Windows 资源 管理 器 中 找到 数据 库 文件 所 在 的 文件 夹 , 右 
击 NTDS 并 选择 快捷 菜单 中 的 “属性 ” 命令 , 打开 “NDTS 属 sa 
性 ”对 话 框 ， 切 换 至 如 图 3-89 所 示 的 “安全 ”选项 卡 。 EY J 
@ ”在 “组 或 用 户 名 称 ”列表 框 中 ， 选 中 需要 删除 的 用 户 或 组 ， | 
单 击 “ 删 除 ”按钮 ， 即 可 删除 选中 的 组 或 用 户 。 通 常 只 保留 Eee | | 
Administrators 和 SYSTEM 组 即 可 。 ee 
@@ 单 击 “ 确 定 ”按钮 ， 完 成 访问 权限 的 设置 。 图 3-89 “安全 ”选项 卡 


3.2.2 ”整理 活动 目录 数据 库 


为 了 提高 活动 目录 在 网 络 中 的 完整 性 、 可 用 性 ， 应 适时 对 Active Directory 数据 库 进 行 整理 。 活 动 目录 
整理 分 为 两 种 模式 : 在 线 整理 和 离线 整理 。 默 认 情 况 下 ， 系 统 每 隔 12 小 时 会 自动 运行 一 次 在 线 整理 ， 整 理 
过 程 中 需要 占用 比 实际 数据 库 大 小 更 多 的 空间 。 若 想 减 小 Active Directory 数据 库 的 大 小 ， 则 需要 使 用 离线 
整理 方式 。 使 用 离线 整理 之 前 ， 暂 存 需要 整理 的 Active Directory 数据 库 文件 的 目标 驱动 器 中 ， 至 少 需要 2 
倍 以 上 的 可 用 空间 ， 来 暂 存 临时 生成 的 Active Directory 数据 库 文件 。 


局 提示 : 离线 整理 需要 Windows Shell 命令 功能 的 支持 ， 必 须 安装 Windows Server Backup 中 的 “命令 行 工 
具 ” 组 件 。 在 执行 离线 整理 过 程 中 ， 需 要 对 数据 库 进行 完整 性 检测 ， 如 果 数 据 库 文 件 发 生 损坏 ， 系 统 将 
自动 做 好 标记 。 
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在 域 控制 器 启动 的 时 候 ， 按 下 F8 键 进入 启动 菜单 ， 选 择 “ 目 录 服 务 还 原 模式 ”， 系 统 进入 安全 
模式 。 


进入 安全 模式 后 ， 打 开 命 令 提 示 符 窗口 ， 输 入 如 下 命令 : 
ntdsutil 

多 Enter 键 ， 转 入 ntdsutil 提示 符 下 ， 显 示 如 图 3-90 所 示 的 结果 。 
在 ntdsutil 提示 符 下 输入 如 下 命令 : 


activate instance ntds 


该 Enter 键 ， 显 示 如 图 3-91 所 示 的 结果 ， 将 ntds 设置 为 活动 实例 。 


BEE 


) 


© 


(6) 


(9 


图 3-90 ”进入 ntdsutil 提示 符 下 图 3-91 将 ntds 设置 为 活动 实例 


在 ntdsutil 提示 符 下 输入 如 下 命令 : 

files 

按 Enter 键 ， 显 示 如 图 3-92 所 示 的 结果 ， 转 入 fle maintenance 提示 符 下 。 
本 


在 fle maintenance 提示 符 下 输入 如 下 命令 : 


info 


按 Enter 键 ， 显 示 如 图 3-93 所 示 的 结果 ， 列 出 了 当前 使 用 的 Active Directory 数据 库 文件 的 位 置 ， 


建议 记录 这 些 信 息 ， 最 后 需要 用 整理 后 的 数据 库 重 新 缆 盖 原 有 数据 库 。 
在 fle maintenance 提示 符 下 ， 输 入 如 下 命令 : 


compact to c:\temp 


按 Enter 键 ， 显 示 如 图 3-94 所 示 的 结果 。 

经 过 压缩 的 Active Directory 数据 库 文件 。 如 果 输 入 的 目录 
系统 将 会 自动 创建 输入 的 目录 。 

输入 两 次 quit 命令 可 返 统 命令 提示 符 。 

使 用 压缩 后 的 Active Directory 数据 库 文件 替换 当前 正在 使 用 的 数据 库 文件 。 在 系统 命令 提示 符 窗 
口中 输入 如 下 命令 : 


copy "c:\temp\ntds.dit" "C:\WINDOWS\NTDS\ntds.dit" 
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按 Enter 键 ， 提 示 是 否 要 歼 盖 原 有 文件 ， 输 入 “yes( 凡 ”或 “al(aj” 确 认 蓝 盖 ， 显 示 如 图 3-95 所 


示 的 结果 。 


图 3-92 转 入 file maintenance 提示 符 图 3-93 ”当前 数据 库 信息 


图 3-94 ”压缩 数据 库 文件 图 3-95 ”Active Directory 数据 库 文件 替换 
@ 继续 输入 如 下 命令 
del C:\WINDOWS\NTDS\*.]l]og 


按 Enter 键 ， 删 除 Active Directory 数据 库 文件 目录 下 所 有 的 LOG 文件 ， 显 示 如 图 3-96 所 示 的 结果 


也 


图 3-96 ”删除 日 志文 件 
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@ 重新 启动 域 控制 器 ， 正 常 登录 即 可 。 


3.2.3 ” 重 定向 活动 目录 数据 库 


\ 量 也 会 不 断 增 
或 重新 定 
默认 的 位 置 ， 则 


ctive Directory 时 ， 将 数据 库 文 件 保存 在 
息 的 安全 ， 应 将 其 保存 到 一 个 相对 安全 的 位 置 。 


向 活动 目录 库 的 存储 目录 。 另 外 ， 如 果 
很 容易 被 攻击 者 入 侵 。 为 确保 数据 库 信 


局 提示 : 活动 目录 的 数据 库 文件 包括 Ntds.dit、Edb.log、Temp.edb. 


重 定向 Active Directory 数据 库 位 置 的 主要 操作 步骤 如 下 。 

@ 以 “目录 服务 还 原 模式 ”启动 服务 器 ， 进 入 安全 模式 后 ， 打 开 命 令 提示 符 窗口 ， 输 入 Ntdsutil 命 
令 并 执行 ， 转 入 ntdsutil 提示 符 下 。 俞 入 files 命令 并 执行 ， 转 入 fle maintenance 提示 符 下 。 

@ 在 file maintenance 提示 符 下 输入 如 下 命令 : 


move db to d:\AD-db 
按 Enter 键 运行 ， 将 Active Directory 数据 库 重 定向 到 d:\AD-db 目录 下 ， 显 示 如 图 3-97 所 示 的 结果 。 


=|9|x| 


o d:\AD-db 


19-8 Mb 


图 3-97 重 定向 活动 目录 数据 库 


命 今 命 今 。 


@ 在 包 emaintenance 命令 提示 符 下 ， 输 入 如 下 命令 : 


move log to d:\AD-db 


按 Enter 键 ， 将 AD 数据 库 日 志 重 定向 到 d:\AD-db 目录 下 ， 显 示 如 图 3-98 所 示 的 结果 。 
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@ Windows Server 2008 


e log to d:\AD-dh 


EE 


日 Hb total 
— 19.9 Mh 
18.8 Mh 


Eile naintenan 


3-98 重 定向 活动 目录 数据 库 日 志 


@ 命令 成 功 执行 ， 使 用 quit 命令 返回 系统 命令 提示 符 即 可 
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组 策略 是 从 Windows 2000 系统 开始 就 集成 的 默认 重合 关键 词 
组 件 ， 通 常用 作 系统 和 网 络 安全 管理 。 人 允许 管理 员 对 所 组 策略 概述 
辖 用 户 账户 或 组 权利 进行 设置 ， 并 且 可 以 将 对 象 指定 的 编辑 组 策略 
操作 权限 赋予 特定 的 用 户 账户 。 在 域 环境 中 ， 则 人 允许 管 安全 策略 
理 员 对 所 有 域 用 户 账户 进行 管理 、 管 理工 作 站 的 安全 设 软件 限制 策略 
置 等 。Windows Server 2008 系统 的 组 策略 功能 更 加 强 IE 安全 策略 
大 ， 安 全 策略 更 加 丰富 ， 可 以 为 管理 员 提供 更 加 详细 的 


网 络 管理 功能 。 
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4.1 组 策略 概述 


在 Windows 2000/XP/2003 系统 中 , 策略 模板 文件 一 直 使 用 单独 文件 格式 , 即 .adm 文件 。 传 统 的 .adm 
模板 文件 虽然 为 修改 注册 表 提供 了 必要 的 方法 ， 但 也 有 诸多 不 便 之 处 ， 例 如 版 本 控制 、 多 语言 支持 等 。 在 
Windows Server 2008 系统 中 ， 采 用 了 全 新 文件 格式 的 策略 模板 ， 即 .admx， 新 策略 模板 文件 的 出 现 ， 使 
Windows Vista 或 Windows Server 2008 用 户 管理 基于 注册 表 的 策略 设置 变 得 更 加 简便 。 


4.1.1 Windows Server 2008 中 组 策略 的 新 特性 


在 Windows Server 2008 系统 中 , 对 原 有 的 系统 策略 进行 了 扩展 ，Windows Server 2003 SP1 中 提供 了 
约 1700 条 组 策略 设置 , 但 是 在 Windows Server 2008 系统 中 已 增加 至 2400 条 组 策略 , 管理 功能 更 加 丰富 。 
在 Windows Server 2008 系统 中 ， 组 策略 管理 控制 台 提 供 了 更 多 元 化 的 组 策略 管理 方式 ， 主 要 有 以 下 新 
特点 : 
”支持 新 的 策略 应 用 范围 ， 包 括 无 线 和 有 线 网 络 ，Windows 防火 墙 和 IPSec 策略 ， 支 持 电 源 管理 和 
USB 设备 限制 策略 。 
和 ”客户 和 域 控制 器 之 间 慢 速 链接 检测 已 经 有 所 改进 ， 现 在 可 以 有 一 个 更 稳定 的 机 制 ， 来 判定 客户 是 
否 通过 慢 速 链接 连接 到 域 控制 器 ， 从 而 决定 所 应 用 的 组 策略 行为 。 
@ 组 策略 更 新 现在 是 基于 域 控制 器 的 可 用 性 ， 也 就 是 说 ， 当 客户 远程 通过 VPN 链接 到 网 络 的 时 候 ， 
组 策略 更 新 会 更 加 及 时 。 
支持 多 个 本 地 策略 对 象 (LGPO)] 以 及 针对 不 同 的 用 户 组 或 用 户 设置 不 同 的 组 策略 对 象 。 
支持 基于 XML 的 管理 模板 文件 格式 化 (ADMX)， 更 好 地 支持 多 语言 模板 。 
支持 per-GPO 和 per-GP 的 设置 。 
GPMC 和 组 策略 编辑 器 都 有 了 改进 ， 并 且 增 加 了 新 功能 。 
增加 了 通过 收购 Desktop Standard 所 获得 的 工具 , 也 就 是 现在 被 称 为 Group Policy Preferences 的 
工具 ， 用 它 来 实现 组 策略 的 自动 创建 。 


4.1.2 ADMX 和 ADM 文件 


新 的 ADMX 文 件 格式 和 自 Windows NT 4.0 起 便 存 在 的 上 日 ADM 格 式 最 大 的 区 别 在 于 ,ADMX 采 用 了 XML 
标准 来 描述 注册 表 策 略 的 设置 。 首 先 ， 编 辑 XML 的 工具 要 远 多 于 编辑 ADM 语法 的 工具 。 其 次 ， 由 于 XML 
是 架构 化 的 ， 因 此 最 终 会 比较 容易 构建 一 些 工具 ， 来 帮助 您 在 正确 位 置 放置 正确 的 标记 ， 进 而 创建 结构 良 
好 的 ADMX 文件 。 其 中 架构 化 是 指 ， 对 于 给 定 的 XML 应 用 程序 (如 ADMX 格式 )， 有 一 个 文档 化 的 架构 来 描 
述 可 能 用 到 的 元 素 和 属性 以 及 它们 的 组 织 方式 。 后 面 的 部 分 将 对 一 个 示例 进行 分 析 。 


1. ADMX 和 ADM 文件 的 区 别 


ADMX 和 ADM 的 另 一 个 主要 区 别 在 于 ， 主 ADMX 文件 的 字符 串 部 分 划分 到 了 语言 特定 的 ADML(ADM 
Language，ADM 语言 ] 文 件 中 。 如 果 熟 悉 ADM 文件 ， 就 会 知道 每 个 文件 的 结尾 会 有 一 个 以 “[strings]” 标 
记分 隔 的 部 分 ， 其 中 用 户 可 以 为 字符 串 赋 值 ， 该 字符 串 会 在 使 用 组 策略 编辑 器 和 管理 模板 时 显示 。 例 如 ， 
单 击 给 定 策略 的 “解释 ”选项 卡 时 所 看 到 的 文本 ， 就 存储 在 该 字符 串 部 分 中 。 问 题 是 ， 字 符 串 存储 在 ADM 
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文件 中 ,如果 希望 在 其 他 语言 的 Windows 系统 上 使 用 该 ADM， 则 需要 创建 一 个 新 的 ADM 文件 ， 并 加 上 适 
用 于 该 语言 的 字符 串 部 分 。 
ADM 文件 本 身 默 认 被 保存 在 组 策略 的 SYSVOL 目录 下 的 “组 策略 模板 ”中 , 因此， 每 当 创建 一 个 GPO， 
就 会 在 每 个 域 控制 器 上 占用 大 约 4MB 的 存储 空间 。 并 且 , 组 策略 模板 对 于 在 其 他 工作 站 上 编辑 组 策略 都 是 
不 可 少 的 ， 没 有 相应 的 ADM 文件 ， 就 无 法 编辑 包含 在 GPO 内 的 任何 自 定义 设置 。 使 用 ADMX 格式 ， 就 
可 以 避免 这 些 问 题 。 用 户 不 必 青 将 任何 内 容 直接 存储 在 GPO 内 部 ， 因 此 不 会 出 现 通 常 所 说 的 “SYSVOL 脱 
胀 ”。 新 ADMX 标准 可 以 利用 “中 心 库 ” 所 具备 的 优势 存储 新 的 ADMX 文件 ， 而 不 必 将 它们 复制 到 每 个 
GPO 中 。 “中心 库 ” 的 另 一 重要 作用 是 : 如 果 ADMX 文件 具有 更 新 的 定义 ， 则 所 有 管理 工作 站 将 立即 使 用 
更 新 的 ADMX 文件 。 

新 的 ADMX 和 ADML 文件 同样 具有 新 的 存储 模型 ， 在 Windows Server 2008 系统 中 的 默认 存储 路 径 是 
%windir%\policydefinitions， 如 图 4-1 所 示 。 


太 


了 


GO -Flightinitions 


文件 四 “ 编 生 加 查看 轨 “工具 四 部 助 D 


2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 
2008/1/19 


4-1 查看 Windows Server 2008 中 的 ADMX 文件 


ADMX 文件 存储 目录 下 的 en-US 和 zh-CN 文件 夹 分 别 用 于 存储 中 文 和 美式 英语 的 ADML 文件 。 当 启动 
组 策略 编辑 器 ， 展开 管理 模板 节点 的 时 候 ， 编辑 器 会 自动 查找 到 %windir%\policydefinitions 文件 夹 。 当 然 
也 可 以 把 这 些 文件 复制 到 中 央 位 置 ， 例 如 中 央 存储 。 

中 央 存 储 是 在 SYSVOL 中 创建 的 域 范围 的 目录 ， 降 低 因 GPO 数量 的 不 断 增 加 而 导致 的 其 他 存储 和 更 大 
复制 通信 的 需求 。 创 建 中 央 存 储 之 前 ， 组 策略 管理 工具 使 用 本 地 计算 机 中 的 核心 操作 系统 ADMX 文件 。 此 
外 ， 管 理工 具 还 可 以 读 取 在 本 地 存储 或 在 GPO 中 存储 的 任何 其 他 ADM 文件 。 这 将 确保 不 同 平台 管理 之 间 
的 互 操作 性 。 仅 存在 于 ADMX 文件 中 的 所 有 策略 设置 只 能 在 平台 中 使 用 。 

ADMX 和 ADML 文件 不 会 自动 复制 到 GPO 的 SYSVOL 中 。 如 果 创建 一 个 新 的 GPO， 则 默认 不 会 包含 任 
何 的 ADMX 文件 。 所 有 的 ADMX 和 ADML 文件 都 是 编辑 GPO 的 时 候 添加 进去 的 。 这 样 可 以 节省 域 控制 器 
中 SYSVOL 的 存储 空间 ， 因 为 临时 文件 不 再 存储 于 每 个 域 控制 器 上 了 。 

2. ADMX 的 中 央 存 储 


Windows Vista 和 Windows Server 2008 中 的 一 个 显著 特性 ， 就 是 ADMX 中 央 存 储 。 在 先前 版 本 的 
Windows 系统 中 ，ADM 模板 的 主要 功能 就 是 生成 组 策略 的 管理 模板 ， 并 且 自 动 复制 到 每 个 GPO 模板 ， 这 
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种 复制 机 制 必然 产生 一 些 问 题 ， 导 致 GPO 的 管理 和 版 本 控制 出 错 。 在 Windows Server 2008 和 Windows 
Vista 系统 中 ， 管 理 模板 文件 被 基于 XML 的 文件 格式 取代 ， 并 且 增 加 了 多 语言 支持 和 强 版 本 控制 ， 可 以 在 
多 语言 环境 中 管理 组 策略 。 

为 了 解决 ADM 模板 的 复制 和 管理 问题 , ADMX 文件 被 集中 在 中 央 存储 。 管理 员 只 需要 在 每 个 域 控制 器 
的 C:\Windows\ Sysvol\sysvol\<domain name>\Policies 下 创建 一 个 名 为 PolicyDefinitions 的 文件 夹 , 并 将 
所 有 的 ADMX 文件 复制 到 该 文件 夹 中 即 可 。 


4.1.3 编辑 ADMX 模板 


相对 于 以 前 操作 系统 版 本 所 使 用 的 ADM 文件 , Windows Vista/2008 中 的 ADMX 格式 有 了 明显 的 改进 。 
XML 的 使 用 为 编辑 和 搜索 这 些 文件 提供 了 更 为 清洁 的 框架 。 语 言 特 定 字符 串 向 单独 文件 的 转换 ， 使 得 多 语 
言 组 策略 编辑 能 够 无 颖 地 进行 ， 同 时 ， 中 心 库 消除 了 将 所 有 GPO 与 ADM 文件 的 副本 一 同 存储 并 更 新 的 必 
要 性 .用 XML 编写 ADMX 的 确 是 一 大 进步 , 但 是 , 许多 管理 员 并 不 知道 如 何 编写 XML, 更 不 用 说 了 解 ADMX 
用 于 创建 策略 扩展 的 架构 了 。 管 理 员 可 以 使 用 多 种 编辑 工具 打开 或 编辑 ADMX 或 ADML 文件 ， 如 记事 本 、 
文本 编辑 器 、Visual Studio 等 ， 甚 至 在 正 浏览 器 中 就 可 以 查看 文件 的 详细 内 容 。 如 图 4-2 所 示 为 在 记事 本 
中 打开 的 系统 默认 XML 文件 。 


剧 I zal -= 记事 : 
Ee 编辑 中) 1 Er 才 助 00 
?xml version="1.0” encoding="utf-16”?> 
<!—Version 2.2--> 
SCWLocalization CultureName="en-US”> 
RoleLocalization> 
lane="Core”》 
Di spi oyNane>Cored/Di opleyName 
RR 《Description>Services ed for all roles. </Description> 
</Role> 
人 Role Nane="SecurityandNetwork”> 
<Di splayName>Security and Network</DisplayName> 
<Description>Enables network infrastructure and security services.《/Description> 
</Role> 
Role Nane="Independent”> 
<DisplayName>Independent /DisplayName> 
J 《Description2The independent role consists of Windows services that cannot be en 
/Role> 
</RoleLocalization> 
XServiceLocalization> 
《Service Name= Appinfo > 


CService Name="Eventlog”> 
/Service> 

Service Name="EventSystem"> 
/Service> 

《Service Name="PlugPlay”> 


| 


图 4-2 使 用 记事 本 打开 XML 文件 
4.2 编辑 组 策略 


在 Windows Server 2008 中 ，GPMC 被 包含 在 基础 设置 中 ， 而 不 用 单独 安装 。 尽 管 组 策略 对 象 编 辑 器 
和 GPME 的 大 部 分 功能 是 相同 的 ， 但 是 组 策略 对 象 编辑 器 已 经 被 GPME 所 取代 。 组 策略 管理 编辑 器 允许 直 
接 编辑 组 策略 ， 以 及 配置 影响 计算 机 和 用 户 的 设置 。 在 “组 策略 管理 ”窗口 中 ， 右 击 任意 组 策略 ， 然 后 选 
择 “编辑 ”选项 ， 即 可 打开 “组 策略 管理 编辑 器 ”窗口 ， 如 图 4-3 所 示 。 
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图 4-3 “组 策略 管理 编辑 器 ”窗口 


4.2.1 管理 设置 


可 以 管理 的 设置 有 很 多 种 ， 根 据 设置 的 功能 不 同 ， 会 出 现 不 同 的 配置 选项 。 基 本 的 设置 ， 包 括 简单 的 
启用 或 禁用 选项 ， 如 图 4-4 所 示 。 高 级 的 设置 ， 还 包括 允许 配置 将 要 使 用 的 值 ， 如 图 4-5 所 示 。 


图 4-4 包括 简单 选项 的 策略 图 4-5 包括 高 级 设置 的 策略 
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4.2.2 ”添加 管理 模板 


每 次 评估 GPO 时 ， 也 会 评估 GPO 内 的 所 有 设置 ， 以 确定 如 何 影响 用 户 或 计算 机 。 评 估 的 设置 越 多 ， 计 
算 机 启动 或 用 户 接收 到 登录 对 话 的 时 间 也 就 越 长 。 因 此 ， 默 认 情 况 下 ， 并 没有 将 所 有 可 用 的 管理 模板 全 部 
添加 在 组 策略 结构 中 。 换 名 话说， 在 实际 使 用 中 ， 只 需要 添加 所 必需 的 管理 模板 即 可 。 

在 “组 策略 管理 编辑 器 ”窗口 中 ， 右 击 “ 管 理 样板 ”， 在 快捷 菜单 中 选择 “添加 /删除 样板 ”命令 。 显 
示 如 图 4-6 所 示 的 “添加 /删除 模板 ”对 话 框 ， 单 击 “ 添 加 ”按钮 ， 浏 览 并 选择 所 要 添加 的 模板 即 可 。 


当前 第 办 模板 代 ) 


2008/1/19 文件 天 
2008/1/19 .文件 夫 


时 


区 ETLI 
3 


[3 
本 


图 4-6 添加 模板 


4.2.3 ”筛选 管理 模板 


如 果 对 组 策略 设置 不 是 很 熟悉 ， 在 设置 组 策略 时 ， 因 为 可 配置 的 设置 很 多 ， 所 以 查找 起 来 可 能 会 比较 
困难 。 为 了 解决 这 个 问题 ， 在 组 策略 管理 器 中 ， 可 以 使 用 筛选 功能 ， 筛 选 掉 所 有 不 匹配 的 选项 。 

@ 右 击 “ 计 算 机 配置 ”或 “用 户 配置 ”管理 模板 下 的 任 一 容器 ， 在 快捷 菜单 中 选择 “筛选 器 选项 ” 
命令 ， 显 示 如 图 4-7 所 示 的 “筛选 器 选项 ”对 话 框 。 根 据 需 要 ， 设 置 所 要 筛选 的 类 别 。 例 如 选中 
“启用 需求 筛选 器 ” 复 选 框 ， 并 在 列表 中 选中 “Windows Server 2008 家 族 ” 和 “Windows Vista 
家 族 ” 复 选 框 。 

单 击 “确定 ”按钮 ， 保 存 筛选 配置 。 
再 次 右 击 模板 节点 ， 在 快捷 菜单 中 选择 “打开 筛选 器 ”命令 ， 即 可 启动 筛选 器 ， 如 图 4-8 所 示 为 
筛选 后 的 结果 。 此 时 ， 根 据 需要 设置 策略 模板 即 可 。 

筛选 器 的 缺点 是 只 能 应 用 在 管理 模板 上 ， 组 策略 其 他 区 域 的 设置 不 会 受到 影响 ， 也 不 会 被 筛选 掉 。 但 
是 ， 这 些 设 置 被 更 新 和 修改 的 频率 不 如 管理 模板 。 


© 
@ 
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图 4-7 “筛选 器 选项 ”对 话 框 


图 4-8 ”筛选 后 的 管理 模板 


4.3 安全 策略 


所 有 安全 策略 都 是 基于 “计算 机 配置 ”的 策略 ， 与 本 地 计算 机 上 的 用 户 账户 或 登录 计算 机 的 域 用 户 账 
户 无 关 。Windows Server 2008 系统 的 安全 机 制 更 为 强大 ， 但 默认 情况 下 并 未 配置 ， 因 此 起 不 到 任何 保护 
作用 ， 必 须根 据 需要 启用 并 配置 这 些 安全 策略 ， 以 确保 系统 安全 。 打 开 “ 本 地 组 策略 编辑 器 ”窗口 ， 并 依 
次 展开 “本 地 计算 机 策略 ”一 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”选项 ， 即 可 开始 配置 
相应 的 策略 ， 如 图 4-9 所 示 。 
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EEXEETEEE gl 对 
文件 操作 查看 W 帮助 o 
和 四方 厨 | 日 可 


司 本 地 站 机 生硬 TE 
忠 量 计算 机 本 避 帐 计 政 
昌国 软件 和 本 地 第 本 审核 、 用 户 权利 和 安全 关于 
日 国 i 设 过 全 rindors 防伪 。 这 ,s 防 炎 培 
国 册 本 让 关机 ) 网络 列 表 管 理 吕 入 路 网 络 名 称 、 图标 和 位 置 组 清风 
日 取 Ep 
骨 | 本 软件 了 了 呈 
中 辐 二 本， 。 了 | 时 了 安全 第 王 ， 在 本 地 计算 机 Internet 夫人 性 0Pse9 管理 * 为 与 到 
1 


图 4-9 “本 地 组 策略 编辑 器 ”窗口 


账户 策略 


账户 策略 主要 用 于 限制 用 户 账户 的 交互 方式 ， 其 中 包括 密码 策略 和 账户 锁定 策略 ， 这 些 设置 同时 适用 
于 独立 服务 器 和 域 环 境 。 密 码 策略 用 于 保护 域 或 本 地 用 户 账 户 的 密码 安全 ， 设 定 密码 规则 等 ， 账户 锁定 策 
略 用 于 保护 域 或 本 地 用 户 账户 的 登录 安全 ， 确 定 某 个 账户 被 锁定 在 系统 之 外 的 情况 和 时 间 长 短 。 


1. 密码 策略 
在 Windows Server 2008 系统 中 ， 默 认 已 经 为 所 有 用 户 账户 启用 了 密码 策略 ， 包 括 : 


密码 必须 符合 复杂 性 要 求 。 

最 短 密码 长 度 最 小 值 。 

密码 最 短 使 用 期 限 。 

密码 最 长 使 用 期 限 。 

强制 密码 历史 。 

用 可 还 原 的 加 密 来 储存 密码 。 

双击 “密码 必须 符合 复杂 性 要 求 ” 策略， 显示 如 图 4-10 所 示 的 对 话 框 , 选择 “已 启用 ” 单 选 按钮 ， 
即 可 启用 该 策略 ， 最 后 单 击 “确定 ”按钮 保存 。 此 安全 设置 确定 用 户 账户 密码 是 否 必须 符合 复杂 
性 要 求 ， 如 果 启 用 此 策略 ， 密 码 必须 符合 下 列 最 低 要 求 。 

不 能 包含 用 户 的 账户 名 ， 不 能 包含 用 户 姓名 中 超过 两 个 连续 字符 的 部 分 。 

至 少 有 6 个 字符 长 。 

包含 以 下 4 类 字符 中 的 3 类 字符 。 

。 ”英文 大 写字 母 (A~2Z) 

日 ”英文 小 写字 母 (a 一 本 

。 10 个 基本 数字 (0 一 9) 

e。 非 字母 字符 (例如 !、$、#、9%0] 


在 更 改 或 创建 密码 时 执行 复杂 性 要 求 。 
双击 “密码 长 度 最 小 值 ”策略 ， 显 示 如 图 4-11 所 示 的 对 话 框 ， 在 “密码 必须 至 少 是 X X 个 字符 ” 


微调 框 中 ， 设 置 密码 的 最 小 长 度 ， 例 如 10。 最 后 单 击 “ 确 定 ” 按 钮 保存 。 此 安全 设置 确定 用 户 账 
户 密码 包含 的 最 少 字符 数 ， 可 选 值 范围 为 1 一 14， 如 果 直 接 设置 为 0， 则 表示 允许 不 设置 密码 。 
在 Windows Server 2008 系统 中 ， 独 立 服务 器 的 默认 值 为 0， 而 域 控制 器 默认 值 为 7。 
本 地 安全 设置 | 说 明 1 
淄 害 码 长 划 最 小 信 
密码 必须 至 少 是 : 
[5 习 t 
取消 应 用 内 
图 4-10 “密码 必须 符合 复杂 性 要 求 属性 ”对 话 框 图 4-11 “密码 长 度 最 小 值 属性 ”对 话 框 


双击 “密码 最 短 使 用 期 限 ”策略 ， 显 示 如 图 4-12 所 示 的 对 话 框 ，Windows Server 2008 系统 的 独 
立 服务 器 默认 值 为 0， 域 控制 器 默认 值 为 1 天 。 在 “在 以 下 天 数 后 可 以 更 改 密码 ”微调 框 中 ， 输 
数 (如 2 天 ]， 单 击 “ 确 定 ”按钮 保存 即 可 。 

码 最 长 使 用 期 限 ” 策 略 ， 显 示 如 图 4-13 所 示 的 对 话 框 ， 系 统 默认 “密码 过 期 时 间 ” 为 
42 天 , 可 选 值 范围 为 1 一 999 天 , 如 果 直 接 设 置 为 0, 则 表示 密码 永 不 过 期 。Windows Server 2008 
系统 的 默认 值 为 42 天 。 


EL 1 
本 地 安全 设置 | 识 明 | 本 地 安全 设置 | 说 明 | 
攻 | 宇 码 服 短 合用 好 限 六 宇 友 最 长 使用 i 限 
在 以 下 天 堵 后 可 以 更 六 密码 密 Bid 柯 . 
[2 习 天 [a 习 天 


图 4-12 “密码 最 短 使 用 期 限 属性 ”对 话 框 图 4-13 “密码 最 长 使 用 期 限 属性 ”对 话 框 
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注意 : 安全 最 佳 操作 是 将 密码 设置 为 30 到 90 天 后 过 期 ， 具 体 取决 于 系统 环境 及 需求 。 这 样 ， 攻 击 者 用 
来 破解 用 户 密 码 以 及 访问 网 络 资源 的 时 间 将 受到 限制 - 


回 ”双击 “强制 密码 历史 ”策略 ， 显 示 如 图 4-14 所 示 的 对 话 框 ， 该 策略 用 于 限制 用 户 更 改 账户 密码 之 
前 不 得 使 用 的 旧 密 码 个 数 ， 有 效 范围 为 0 一 24， 例 如 ， 可 以 设置 为 12， 则 用 户 不 能 重复 使 用 在 此 
之 前 用 过 的 12 个 历史 密码 。 在 Windows Server 2008 系统 中 ， 独 立 服务 器 上 默认 值 为 0， 域 控制 
器 上 默认 值 为 24。 

@ ”双击 “用 可 还 原 的 加 密 来 储存 密码 ”策略 ， 显 示 如 图 4-15 所 示 对 话 框 ， 该 安全 设置 确定 操作 系统 
是 否 使 用 可 还 原 的 加 密 来 储存 密码 。 选 择 “ 已 启用 ” 单 选 按钮 ， 表 示人 允许 使 用 可 还 原 的 加 密 存储 
密码 。 单 击 “ 确 定 ”按钮 保存 设置 。 使 用 此 安全 设置 ， 确 定 操作 系统 是 否 使 用 可 还 原 的 加 密 来 储 
存 密码 ,此 策略 还 可 以 为 某 些 应 用 程序 提供 支持 。 使 用 可 还 原 的 加 密 储存 密码 与 储存 纯 文本 密码 ， 
在 本 质 上 是 相同 的 。 因 此 ， 除 非 应 用 程序 需求 比 保护 密码 信息 更 重要 ， 否 则 绝 不 要 启用 此 策略 。 


图 4-14 “强制 密码 历史 属性 ”对 话 框 图 4-15 “用 可 还 原 的 加 密 来 储存 密码 属性 ”对 话 框 


2. 账户 锁定 策略 


锁定 账户 可 以 有 效 防止 入 侵 者 无 休止 地 尝试 登录 ， 账 户 锁定 策略 主要 用 于 确定 某 个 用 户 账户 被 锁定 条 
件 和 时 间 长 短 ， 具 体 策略 如 下 : 

”复位 账户 锁定 计数 器 。 

”账户 锁定 时 间 。 

”账户 锁定 阐 值 。 


提示 : 默认 情况 下 ，Windows Server 2008 系统 的 独立 服务 器 并 未 配置 “复位 账户 锁定 计数 器 ”策略 和 “ 账 
“ 户 锁定 时 间 ” 策 略 ， 所 以 管理 员 账 户 无 法 对 普通 账户 实施 锁定 。 


@ 在 Windows Server 2008 域 控制 器 上 ， 双 击 “ 复 位 账户 锁定 计数 器 ”策略 ， 显 示 如 图 4-16 所 示 的 
对 话 框 ， 选 中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 在 “在 此 后 复位 账户 锁定 计数 器 ”微调 框 中 ， 输 
入 适当 的 时 间 值 ， 默 认为 30 分 钟 ， 即 账户 被 锁定 30 分 钟 后 ， 方 可 青 次 尝试 登录 。 如 果 定 义 了 账 


[1441 


© 


第 4 章 组 策略 安全 


户 锁定 阅 值 ， 此 重 置 时 间 必 须 小 于 或 等 于 账户 锁定 时 间 。 

在 Windows Server 2008 域 控制 器 上 , 双击 “账户 锁定 时 间 ” 策 略 , 显示 如 图 4-17 所 示 的 对 话 框 ， 
选中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 在 “账户 锁定 时 间 ” 微 调 框 中 ， 输 入 适当 的 时 间 值 ， 默 认 
锁定 时 间 为 30 分 钟 。 需 要 注意 的 是 ， 只 有 在 指定 了 账户 锁定 阔 值 时 ， 此 策略 设置 才 有 意义 。 


国 忆 DTEE 是 


图 4-16 “复位 账户 锁定 计数 器 属性 ”对 话 框 图 4-17 “账户 锁定 时 间 属性 ”对 话 框 


在 Windows Server 2008 域 控制 器 或 独立 服务 器 上 ， 双 击 “ 账 户 锁定 阔 值 ”策略 ， 显 示 如 图 4-18 
所 示 的 对 话 框 ， 选 中 “定义 这 个 策略 设置 ” 复 选 杠 ， 即 可 启用 该 策略 。Windows Server 2008 独 
立 服务 器 的 默认 值 为 0， 即 永 不 锁定 账户 ， 域 控制 器 默认 是 未 配置 的 。 当 使 用 Ctrl+Alt+Del 或 密 
码 保护 的 屏幕 保护 程序 锁定 计算 机 时 ， 也 将 记录 失败 尝试 。 


3. Kerberos 策略 (Windows 域 安全 ) 

Kerberos 策略 是 适用 于 域 用 户 账户 的 安全 策略 ， 独 立 服务 器 系统 无 此 策略 ， 主 要 用 于 确定 与 Kerberos 
相关 的 设置 ， 例 如 票证 的 有 效 期 限 和 强制 执行 。Kerberos 策略 不 存在 于 本 地 计算 机 策略 中 。Kerberos 策略 
中 包含 如 下 设置 : 


O 


服务 票证 最 长 寿命 。 

计算 机 时 钟 同 步 的 最 大 容 差 。 

强制 用 户 登 录 限 制 。 

用 户 票 证 续 订 最 长 寿命 。 

用 户 票 证 最 长 寿命 。 

双击 “服务 票证 最 长 寿命 ”， 显 示 如 图 4-19 所 示 的 “服务 票证 最 长 寿命 属性 ”对 话 框 ， 选 中 “ 定 
义 这 个 策略 设置 ” 复 选 框 ， 并 在 “票证 过 期 时 间 ” 微 调 框 中 ， 设 置 适 当 值 即 可 ， 默 认为 600 分 钟 。 
该 策略 用 来 设置 确定 使 用 所 授予 的 会 话 票证 可 访问 特定 服务 的 最 长 时 间 ( 以 分 钟 为 单位 ]。 该 设置 
必须 大 于 10 分 钟 ， 并 且 小 于 或 等 于 用 户 票 证 最 长 寿命 设置 。 

如 果 客 户 端 请 求 服务 器 连接 时 出 示 的 会 话 票证 已 过 期 ， 服 务 器 将 返回 错误 消息 。 客 户 端 必须 从 
Kerberos V5 密 钥 分 发 中 心 (KDC) 请 求 新 的 会 话 票 证 ， 然 而 一 旦 连接 通过 了 身份 验证 ， 该 会 话 票 证 
是 否 仍然 有 效 就 无 关 紧 要 了 。 会 话 票 证 仅 用 于 验证 与 服务 器 的 新 建 连接 。 如 果 用 于 验证 连接 的 会 
话 票证 在 连接 时 过 期 ， 则 当前 的 操作 不 会 中 断 。 
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@ Windows Server 2008 -二 3 人， 


CE 本 到 CHET 本 到 
本 地 安全 设置 | 说 明 | 安全 第 风 访 着 | 放 明 | 
量 由 户 铭 二 风 信 于 服务 村 证 最 寿命 
灰 定义 这 个 第 略 设 置 D) 
和 Ed 后 


CD | 本 CD | enw | 


图 4-18 “账户 锁定 阅 值 属性 ”对 话 框 图 4-19 “服务 票证 最 长 寿命 属性 ”对 话 框 


@ 双击 “计算 机 时 钟 同步 的 最 大 容 差 ”策略 , 显示 如 图 4-20 所 示 的 “计算 机 时 钟 同 步 的 最 大 容 差 属 
性 ”对 话 框 ， 选 中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 在 “最 大 容 差 ”微调 框 中 ， 设 置 适当 值 即 可 ， 
默认 为 5 分 钟 。 该 策略 用 来 设置 确定 Kerberos V5 所 允许 的 客户 端 时 钟 和 提供 Kerberos 身份 验证 
的 Windows Server 2008 域 控制 器 上 的 时 间 的 最 大 差 值 。 


SG 提示 : 该 设置 并 不 是 永久 性 的 。 如 果 配 置 该 设置 后 重新 启动 计算 机 ， 那 么 该 设置 将 被 还 原 为 默认 值 。 


@ ”双击 “强制 用 户 登录 限制 ”策略 ， 显 示 如 图 4-21 所 示 的 “强制 用 户 登 录 限 制 属性 ”对 话 框 ， 选 
中 “定义 这 个 策略 设置 ” 复 选 杠 ， 并 选择 “已 启用 ” 单 选 按钮 ， 即 可 启用 该 策略 。 该 策略 用 来 设 
置 确定 Kerberos V5 密 钥 分 发 中 心 ， 是 否 要 根据 用 户 账户 的 用 户 权限 验证 每 一 个 会 话 票证 请 求 。 验 
证 每 一 个 会 话 票证 请 求 是 可 选 的 , 因为 额外 的 步骤 需要 花费 时 间 , 并 可 能 降低 服务 的 网 络 访问 速度 。 


ETIETTSEESTET 四 要 
安全 第 力 设 置 | 说明 | 安全 第 鸭 设 置 | 识 明 | 
济 计算 机 时 钟 同步 的 最 大 容 差 济 强制 | 用户 登 录 际 制 
民 定义 这 个 第 略 设置 加 ) 灰 定义 这 个 第 风 设 置 0): 
最 大 容 差 ; 已 和 有 GE) 
F 习 个 已 茜 用 GS) 
取消 |。 应 用 内 了 | mw | 
图 4-20 “计算 机 时 钟 同步 的 最 大 容 差 属性 ”对 话 框 图 4-21 “强制 用 户 登录 限制 属性 ”对 话 框 
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图 双击 “用 户 票 证 续 订 最 长 寿命 ”策略 ， 显 示 如 图 4-22 所 示 的 “用 户 票 证 续 订 最 长 寿命 属性 ”对 
话 框 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 在 “票证 续 订 过 期 时 间 ” 微 调 框 中 设置 适当 值 即 可 ， 
默认 为 10 天 。 

回 双击“ 用户 票证 最 长 寿命 ”策略 ， 显 示 如 图 4-23 所 示 的 “用 户 票 证 最 长 寿命 属性 ”对 话 框 ， 选 
中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 在 “票证 过 期 时 间 ” 微 调 框 中 ， 设 置 适当 值 即 可 ， 默 认为 7 
小 时 。 该 策略 用 来 设置 确定 用 户 票 证 授予 票证 (TGT) 的 最 长 使 用 时 间 ， 用 户 TGT 期 满 后 ， 必 须 请 
求 新 的 或 “ 续 订 ” 现 有 的 用 户 票 证 。 


图 4-22 “用 户 票证 续 订 最 长 寿命 属性 ”对 话 框 图 4-23 “用 户 票证 最 长 寿命 属性 ”对 话 框 


4. 推荐 的 密码 策略 设置 

推荐 的 密码 策略 为 : 

se。 密码 必须 符合 复杂 性 要 求 : 已 启用 ， 必 须 启 用 。 

em。 密码 长 度 最 小 值 : 8 个 字符 或 者 更 高 。 

推荐 的 账户 锁定 策略 为 : 

于 ”账户 锁定 阔 值 : 3 次 (或 者 略 高 ] 无 效 登录 。 

账户 锁定 时 间 : 30 分 钟 (默认 ， 可 根据 实际 需要 更 改 )。 
”复位 账户 锁定 计数 器 : 30 分 钟 (默认 ， 可 根据 实际 需要 更 改 ) 之 后 。 


提示 : 密码 复杂 性 是 指 密码 中 必须 包含 字母 、 数 字 、 特 殊 符号 等 内 容 。 对 安全 性 要 求 比较 高 的 地 方 ， 推 
荐 使 用 超过 12 位 以 上 的 密码 长 度 。 密码 应 该 经 常 性 更 换 ， 特 别 在 有 管理 员 以 外 的 人 知道 时 。 系 统管 理 员 
Administrator 密码 建议 仅 有 管理 员 知 晓 并 且 是 足够 强壮 的 密码 ， 并 且 修 改 默认 的 用 户 名 。 

4.3.2 ”审核 策略 


审核 是 Windows Server 2008 系统 中 本 地 安全 策略 的 一 部 分 ， 每 当 用 户 执行 某 些 指定 的 操作 时 ， 审 核 
日 志 都 会 记录 一 项 。 例 如 ， 对 文件 或 策略 进行 修改 就 会 触发 审核 项 ， 以 显示 执行 的 操作 、 相 关 用 户 账户 ， 
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以 及 操作 日 期 和 时 间 。 通 过 配置 审核 策略 ， 系 统 可 以 自动 记录 所 有 登录 到 本 地 计算 机 的 事件 ， 因 此 ， 管 理 
员 只 要 在 日 志 中 发 现在 非 工作 时 段 或 者 陌生 用 户 账户 的 系统 登录 ， 就 能 迅速 判断 系统 被 外 来 者 入 侵 或 试图 
入 侵 。 各 个 审核 设置 的 选项 包括 : 
”成 功 。 请求 的 操作 得 以 成 功 执行 时 会 生成 一 个 审核 项 。 
”失败 。 请 求 的 操作 失败 时 会 生成 一 个 审核 项 。 
”无 审核 。 相 关 操 作 不 会 生成 审核 项 。 
通过 审核 可 以 记录 下 列 4 类 信息 : 
”哪些 用 户 企 图 登录 到 系统 中 ， 或 从 系统 中 注销 、 登 录 或 注销 的 日 期 和 时 间 是 否 成 功 等 。 
”哪些 用 户 对 指定 的 文件 、 文 件 夹 或 打印 机 进行 哪 种 类 型 的 访问 。 
”系统 的 安全 选项 进行 了 哪些 更 改 。 
”用 户 账户 进行 了 哪些 更 改 ， 是 否 增加 或 删除 了 用 户 等 。 
通过 查看 这 些 信息 ， 系 统管 理 员 就 能 够 及 时 发 现 系 统 存 在 的 安全 隐患 ， 通 过 了 解 指定 资源 的 使 用 情况 
来 指定 资源 使 用 计划 。Windows Server 2008 系统 的 审核 策略 包含 以 下 9 项 
审核 策略 更 改 。 
审核 登录 事件 。 
审核 对 象 访问 。 
审核 过 程 跟 踪 。 
审核 目录 服务 访问 。 
审核 特权 使 用 。 
审核 系统 事件 。 
审核 账户 登录 事件 。 
审核 账户 管理 。 


提示 : Windows 系列 操作 系统 的 日 志 审 核 默 认为 关闭 状态 ， 必 须 手 动 开启 。 审 核 策略 设置 完成 后 ， 需 要 
重新 启动 计算 机 才能 生效 。 


1. 配置 审核 策略 

审核 策略 在 本 地 计算 机 上 打开 “本 地 组 策略 编辑 器 ”控制 全 ,并 依次 展开 “计算 机 配置 ”一 “Windows 
设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “审核 策略 ”， 显 示 如 图 4-24 所 示 的 “本 地 组 策略 编辑 器 ”窗口 ， 
在 右 侧 窗 口中 可 以 查看 系统 默认 的 所 有 策略 。 

Windows Server 2008 系统 审核 策略 的 主要 功能 如 表 4-1 所 示 。 


表 4-1 审核 策略 及 功能 说 明 


审核 策略 功能 说 明 


审核 策略 更 改 | 该 安全 设置 确定 是 否 审核 用 户 权限 分 配 策略 、 审 核 策略 或 信任 策略 更 改 的 每 一 个 事件 
该 安全 设置 确定 是 否 审核 每 一 个 登录 或 注销 计算 机 的 用 户 账户 。 在 域 控制 器 上 ,将 生成 域 账户 活动 
的 账户 登录 事件 ， 并 在 本 地 计算 机 上 生成 本 地 账户 活动 的 账户 登录 事件 


审核 登录 事件 


该 安全 设置 确定 是 否 审核 用 户 访问 某 个 对 象 的 事件 ， 例 如 文件 、 文 件 夹 、 打 印 机 等 ， 都 有 自己 特定 
的 系统 访问 控制 列表 (SACL) 


审核 对 象 访问 
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续 表 
审核 策略 功能 说 明 


审核 过 程 跟踪 该 安全 设置 确定 是 否 审核 事件 的 详细 跟踪 信息 ， 例 如 进程 的 启动 和 退出 等 


该 安全 设置 确定 是 否 审核 用 户 访问 那些 指定 自己 的 系统 访问 控制 列表 的 Active Directory 对 象 的 事 
审核 目录 服务 访问 | 件 。 默 认 情况 下 ， 在 “默认 域 控制 器 组 策略 对 象 (GPO)” 中 该 值 设置 为 无 审核 ， 并 且 在 该 值 没有 任 
何 意义 的 工作 站 和 服务 器 中 ， 它 保持 未 定义 状态 


审核 特权 使 用 该 安全 设置 确定 是 否 审核 用 户 实施 其 用 户 权利 的 每 一 个 事件 


当 用 户 重新 启动 或 关闭 计算 机 时 或 者 对 系统 安全 或 安全 日 志 有 影响 的 事件 发 生 时 , 安全 设置 确定 是 


审核 系统 事件 二 亲 加 订 沪 
该 安全 设置 确定 是 否 审核 在 这 台 计算 机 用 于 验证 账户 时 ,用户 登录 到 其 他 计算 机 或 者 从 其 他 计算 机 
。 起 行 证 时 ， 生 i 
审核 账户 登录 事件 注销 的 每 个 实例 。 当 在 域 控制 器 上 对 域 用 户 账户 进行 身份 验证 时 ， 将 产生 账户 登录 事件 。 该 事件 记 


录 在 域 控制 器 的 安全 日 志 中 。 当 在 本 地 计算 机 上 对 本 地 用 户 进行 身份 验证 时 ， 将 产生 登录 事件 。 该 
事件 记录 在 本 地 安全 日 志 中 。 不 产生 账户 注销 事件 
审核 账户 管理 该 安全 设置 确定 是 否 审核 计算 机 上 的 每 一 个 账户 管理 事件 
CESTEIETE 


文件 四 损 作 查看 0 帮助 00 
[TELJREIDI | 


古本 地 计算 机 第 由 = [二 但 I 
己基 计 基 机 到 和 市 人 第 居 硬 区 元 宙 术 
加 圈 软件 设置 古林 事 件 无 宙 桩 
日 国 findors 设置 | 加 审 攀 委 访 问 无 市 校 
加 无 宙 术 
日 到 安全 设置 目录 服务 访问 证 
De | Sa 无 市 术 
天 | 加 RaR 件 无 宙 术 
Eng 加 市 由 记录 事件 无 市 
人 无 市 术 
: 了 
总 安全 
回国 高 名 安全 
Ed 
田园 公 寺 中 


田 是 软件 限 山 
田 量 严 安全 第 

加 下 基于 第 昭 的 9 
管理 模 1 


图 4-24 “本 地 组 策略 编辑 器 ”窗口 


此 处 以 配置 “审核 策略 更 改 ” 策 略为 例 ， 介 绍 Windows Server 2008 本 地 计算 机 审核 策略 的 配置 。 

@ 在 “审核 策略 ”窗口 中 ， 双 击 “ 审 核 策 略 更 改 ” 策 略 ， 显 示 如 图 4-25 所 示 的 “审核 策略 更 改 属 
性 ”对 话 框 。 同 时 选中 “成 功 ” 和 “失败 ” 复 选 框 ， 系 统 即 可 同时 记录 所 有 “成 功 ” 和 “失败 ” 
的 策略 更 改 事件 。 在 域 控制 器 上 该 策略 默认 为 只 审核 “成 功 ”的 操作 ， 在 独立 服务 器 上 默认 设置 
为 “无 审核 ”， 即 不 记录 任何 此 类 事件 。 

单 击 “ 说 明 ” 标 签 切换 至 如 图 4-26 所 示 的 “说 明 ” 选 项 卡 ， 可 以 查看 该 策略 的 说 明 信 息 。 

单 击 “ 确 定 ” 按 钮 ， 保 存 设置 即 可 。 配 置 其 他 审核 策略 的 操作 步骤 与 此 完全 相同 ， 不 青 歼 述 。 


@e 
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图 4-25 “审核 策略 更 改 属性 ”对 话 框 图 4-26 策略 说 明 信 息 


2. 推荐 的 审核 策略 设置 


推荐 的 审核 策略 配置 目标 有 以 下 内 容 。 
审核 策略 更 改 : 成 功 + 失败 。 
审核 登录 事件 : 成 功 + 失败 。 
审核 访问 对 象 ， 失败 。 
审核 目录 服务 访问 :失败 。 
审核 特权 使 用 : 失败 。 

审核 系统 事件 : 成 功 + 失败 。 
审核 账户 登录 事件 ， 成 功 + 失败 。 
审核 账户 管理 成 功 + 失败 。 


3. 调整 日 志 审 核 文件 的 大 小 


配置 和 启用 审核 策略 后 ， 系 统 将 自动 对 指定 事件 进行 审核 和 记录 ， 默 认 情况 下 这 些 事件 记录 保存 在 
Windows 事件 查看 器 指定 的 目录 (%SystemRoot%\System32\Winevt\Logs\) 下 。 在 安装 Windows Server 
2008 系统 时 , 默认 已 经 设置 了 日 志文 件 大 小 , 除 “ 安 装 程序 ”日 志 为 1024KB 外 , “应 用 程序 ”、“ 安 全 ”、 

“系统 ”和 “转发 的 事件 ”日 志 大 小 上 限 均 为 20MB。 对 于 网 络 服务 器 而 言 ， 建 议 适当 增 大 日 志文 件 大 小 
的 上 限 值 。 推 荐 的 日 志 空间 大 小 为 : 

”应 用 程序 日 志 ，51200KB， 即 50MB。 

日 ”安全 日 志 ，1024000KB， 即 1000MB。 

@ ”系统 日 志 ，102400KB， 即 100MB。 

这 里 以 “安全 ”日 志 审核 文件 为 例 ， 介 绍 如 何 调整 Windows 日 志文 件 存储 空间 上 限 值 。 

@ ”依次 选择 “开始 ”一 “管理 工具 ”一 “事件 查看 器 ”， 显 示 如 图 4-27 所 示 的 “事件 查看 器 ”窗口 。 

回 右 击 “安全 ”并 选择 快捷 菜单 中 的 “属性 ”选项 ， 显 示 如 图 4-28 所 示 的 “日 志 属性 - 安全 ”对 

话 框 。 在 “日 志 最 大 大 小 ”微调 框 中 输入 “1024000”， 即 1000MB， 并 选择 “日 志 满 时 将 其 存 
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档 ， 不 履 盖 事件 ” 单 选 按钮 ， 以 免 丢 失 旧 的 事件 日 志 。 


EETEEE =I9|x| 
文件 和 ) ”操作 查看 帮助 00 
折 中 | 为 | 四 | 加 [名 


1 
‘2008/6/5 12:31:46 

2008/6/4 19:10:31 

2008/6/4 18:39:46 

2008/8/4 18:39:24 

2008/8/4 17:45:19 

国 zaternet Teplorer 2008/8/4 17:45:17 
国 pe wmacment Service 2008/8/4 17:45:18 
田 国 Wierosott 2008/6/4 17:45:16 
同 硬件 事件 2008/8/4 17:44:59 
DL 2008/6/3 12:35:54 
i 2008/6/3 11:00:30 

2008/6/3 10:51:13 

2008/6/3 10:45:06 


无 
无 
无 
无 
无 
无 
无 
无 
无 
无 
无 
无 
无 
无 


图 4-27 “事件 查看 器 ”窗口 


轨 闹 
EP: Security 
日 志 沼 径 (LD): [ssemkootsssyrtemazwinentogsseemyet 
日 志 大 小 207 M802.166.784 个 李 避 ) 
全 于 时 笑 2008 年 5 月 29 日 102931 
修改 时 间 : 2008 征 6 月 5 日 142349 
访问 时 间 2008 年 5 月 29 日 102931 


忆 高 用 日 去 沁 肝 但 


日 志 景 大 大 小 (KB )00: [loxoo 习 


图 4-28 “日 志 属性 - 安全 ”对 话 框 


单 击 “确定 ”按钮 ， 即 可 完成 日 志文 件 大 小 的 修改 。 使 用 相同 的 方法 即 可 更 改 其 他 类 型 日 志 审核 
文件 大 小 的 最 大 值 。 
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© 注意 :日 志文 件 的 大 小 必须 是 64K 的 倍数 。 


4.3.3 ”用户 权限 分 配 


将 部 分 安全 功能 设置 权限 ， 分 配给 特定 的 用 户 账户 ， 怒 可 以 减少 系统 或 网 络 管理 员 的 工作 负担 ， 又 可 
以 做 到 重要 权限 的 分 散 ， 避 免 了 个 别 用 户 权 限 过 高 而 给 系统 或 网 络 带 来 的 威胁 。 在 “本 地 组 策略 编辑 器 ” 
窗口 中 ， 依 次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “用 户 权限 分 配 ” 
选项 ， 即 可 查看 Windows Server 2008 系统 中 的 用 户 权限 分 配 策略 ， 如 图 4-29 所 示 。 


文件 操作 查看 W 帮助 00 
和 四 | 力 | 宁 | 尖 日 二 | 日 可 


司 本 地 计算 机 第 略 
日 最 计算 机 配置 


aninistrators 
LDCAL SERVICE, ¥. 


Mininistrators 


Mdninistrators 
Byeryone, Maini 
Mninistrators 


TDCAL SEEVICE, A 
LDCAL SEEYTCE A 
Aninistraters, 
Mninistretors 
田 盖 软件 限 抽 | 加 还 Mninistrators, 
田 量 I 安全 请 | 加 加 3p 吉 设备 谍 动 程序 Nninistrators 
田 十 | 苦于 第 申 的 9 | 中 将 工作 站 添加 
加 国 管理 模板 和 页 定 在 内 存 
日 网 用户 轩 拒 巡 本 地 晤 录 
国 软件 设置 拒 纺 从 网 络 访问 这 名 计算 机 
二 Yiadows 认 叶 拒绝 作为 服务 登录 
拒绝 作为 批 处 理 作业 党 录 
配置 文件 单个 进程 Mainistretors 
职 置 文件 系统 性 院 Nninistrators 
| 到 | mt Pree 到 | 


图 4-29 用户 权限 分 配 策略 
在 Windows Server 2008 系统 中 ， 管 理 员 可 以 为 用 户 账户 指派 更 为 详细 的 安全 管理 权限 ， 可 分 配 权限 


及 功能 描述 如 表 4-2 所 示 。 
表 4-2 用 户 权限 分 配 策略 及 功能 
策 略 功能 说 明 默认 用 户 账户 和 组 
备份 文件 和 目录 确定 哪些 用 户 可 以 绕 过 文件 和 目录 、 注 册 表 和 其 他 永久 对 象 权 限 进行 | Administrators 、 Backup 
系统 备份 Operators 
充当 操作 系统 的 一 | 此 用 户 权 限 允许 某 个 进程 模拟 任意 用 户 而 无 须 进行 身份 验证 。 因 此 该 
部 分 进程 可 以 与 该 用 户 一 样 获得 对 本 地 资源 的 访问 权限 


创建 符号 链接 此 权限 决定 用 户 是 否 可 以 从 登录 的 计算 机 创建 符号 链接 Administrators, 
Local Service 、 Network 
此 用 户 权限 对 于 在 终端 服务 会 话 过 程 中 创建 全 局 对 象 的 用 户 账户 是 


创建 全 局 对 象 
必需 的 。 未 分 配 此 用 户 权限 的 用 户 仍 可 以 创建 特定 于 会 话 的 对 象 


Service、Administrators、 


Service 
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策 略 功能 说 明 默认 用 户 账户 和 组 
此 安全 设置 确定 进程 可 以 使 用 哪些 账户 创建 令 牌 该 令 牌 接着 可 以 在 
进程 使 用 内 部 应 用 程序 编程 接口 (API，Application Programming 
创建 一 个 令 牌 对 象 | Interface] 创 建 访问 令 牌 时 用 于 获取 任何 本 地 资源 的 访问 权限 。 此 用 户 | 没有 任何 用 户 账户 。 
权限 供 操作 系统 内 部 使 用 。 除 非 必 要 ， 建 议 不 要 将 此 用 户 权限 分 配给 
本 地 系统 之 外 的 用 户 、 组 或 进程 
此 用 户 权限 确定 哪些 用 户 和 组 可 以 调用 内 部 应 用 程序 编程 接口 [APD 
创建 一 个 页 面 文件 | 创建 页 面 文件 。 此 用 户 权限 供 操作 系统 内 部 使 用 ， 且 通常 不 需要 分 配 | Administrators 
给 任何 用 户 
此 用 户 权限 确定 进程 可 以 使 用 哪些 账户 利用 对 象 管理 器 创建 目录 对 
创建 永久 共享 对 象 | 象 。 此 用 户 权 限 供 操作 系统 内 部 使 用 ， 且 对 于 扩展 对 象 命名 空间 的 内 | 没有 任何 用 户 账户 。 
核 模式 组 件 非常 有 用 
从 扩展 坞 上 取 下 计 | 此 安全 设置 确定 用 户 是 否 可 以 无 需 登 录 而 从 其 扩展 坞 上 移 除 便携 式 
算 机 计算 机 Administrators 
从 网 络 访问 此 计 | 此 用 户 权限 确定 允许 哪些 用 户 和 组 通过 网 络 连接 到 计算 机 。 此 用 户 权 | Everyone、Administrators、 
算 机 限 不 影响 终端 服务 Users、Backup Operators 
从 远程 系统 强制 此 安全 设置 确定 允许 哪些 用 户 从 网 络 上 的 远程 位 置 关闭 计算 机 。 误 用 
关机 此 用 户 权限 会 导致 拒绝 服务 。 此 用 户 权限 是 在 默认 域 控制 器 组 策略 对 | Administrators 
象 以 及 工作 站 和 服务 器 的 本 地 安全 策略 中 进行 定义 的 
更 改 时 区 此 用 户 权限 确定 哪些 用 户 和 组 可 以 更 改 计算 机 默认 时 区 。 这 是 | Local Service、 
Windows Server 2008 的 新 增 用 户 权限 分 配 策略 之 一 Administrators 
此 用 户 权限 确定 哪些 用 户 和 组 可 以 更 改 计算 机 内 部 时 钟 上 的 日 期 和 
更 改 系统 时 间 时 间 。 分 配 了 此 用 户 权限 的 用 户 可 以 影响 事件 日 志 的 外 观 。 如 果 已 更 | Local Service、 
改 了 系统 时 间 ， 则 记录 的 事件 将 反映 此 新 时 间 ， 而 不 是 事件 发 生 的 实 | Administrators 
际 时 间 
此 安全 设置 确定 哪些 在 本 地 登录 到 计算 机 的 用 户 可 以 使 用 关机 命令 | Administrators 、 Backup 
于 关闭 操作 系统 。 误 用 此 用 户 权限 会 导致 拒绝 服务 Operators 
管理 审核 和 安全 | 此 安全 设置 确定 哪些 用 户 可 以 为 单独 的 资源 (如 文件 .Active Directory 
Administrators 
日 志 对 象 和 注册 表 项 ) 指 定 对 象 访问 审核 选项 
此 安全 设置 确定 在 还 原 备份 的 文件 和 目录 时 哪些 用 户 可 以 绕 过 文件 、 a 
Administrators 、 Backup 
还 原文 件 和 目录 目录 、 注 册 表 和 其 他 永久 对 象 权限 ， 以 及 确定 哪些 用 户 可 以 将 任何 有 
效 的 安全 主体 设置 为 对 象 的 所 有 者 
加 载 和 印 载 设备 驱 和 作答 下 用 和 让 生生 和 让 生生 坟 加 光 
动 程序 和 印 载 到 内 核 模式 中 。 此 用 户 权 限 不 适用 于 即 插 即 用 设备 驱动 程序 。 | Administrators 
建议 不 要 将 此 权限 分 配给 其 他 用 户 
此 安全 设置 确定 哪些 组 或 用 户 可 以 将 工作 站 添加 到 域 。 此 安全 设置 仅 
将 工作 站 添加 到 域 | 对 域 控制 器 有 效 。 默 认 情 况 下 ， 任 何 已 经 经 过 身份 验证 的 用 户 都 具有 | 没有 任何 用 户 账户 
此 权限 并 可 以 在 该 域 中 最 多 创建 10 个 计算 机 账户 
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续 表 
策 略 功能 说 明 默认 用 户 账户 和 组 
将 页 镇 定 在 | 此 安全 设置 确定 哪些 下 户 可 以 使用 进程 将 数据 保持 在 物理 内 存 中 ， 这 样 可 
i 防止 系统 将 数据 分 页 到 磁盘 上 的 虚拟 内 存 中 。 使 用 此 权限 会 因 降 低 可 用 随 | 没有 任何 用 户 账户 。 
机 存 取 内 存 (RAM) 的 数量 ， 而 显著 影响 系统 性 能 
i 
拒绝 本 地 登录 | 此 安全 设置 确 定 要 防止 哪 些 用 户 在 该 计算 机 上 登录 各 果 账户 受制 于 此 策 | 没有 任何 用 户 账户 
略 设置 和 “允许 本 地 登录 ”策略 设置 ， 则 前 者 会 取代 后 者 
拒绝 从 网 络 访 | 此 安全 设置 确定 要 防止 哪些 用 户 通 过 网 络 访问 计算 机 * 如 果 用 户 几 户 受 限 | 任何 用 户 由 
问 这 台 计 算 机 | 于 此 策略 设置 和 “从 网 络 访问 此 计算 机 ”策略 设置 ， 则 前 者 会 取代 后 者 
拒绝 作为 服务 | 此 安全 设置 确定 要 防止 哪些 服务 账户 将 进程 注册 为 服务 。 如果 账 户 受制 于 | 
， 没有 任何 用 户 账户 。 
登录 此 策略 设置 和 “作为 服务 登录 ”策略 设置 ， 则 前 者 会 取代 后 者 
拒绝 作为 批 处 | 此 安全 设置 确定 要 防止 哪些 账户 作为 批 处 理 作业 章 录 。 如 果 用 户 三 户 受 限 | 全 任何 用 户 几 户 
理 作业 登录 。 | 于 此 策略 设置 和 “作为 批 处 理 作业 登录 ”策略 设置 ， 则 前 者 会 取代 后 者 2 
配置 文件 单个 | 此 安全 设置 确定 哪些 用 户 可 以 使 用 性 能 监视 工具 来 监视 非 系统 进程 的 
Administrators 
进程 性 能 
配置 文件 系统 
pe 件 系统 | 此 安全 设置 确定 哪些 用 户 可 以 使 用 性 能 申 视 工具 来 监视 系统 进程 的 性 能 “| Administrators 
器 
取得 文件 或 其 | 此 安全 设置 确定 哪些 用 户 可 以 取得 系统 中 任何 安全 对 象 (包括 Active 
他 对 象 的 所 | Directory 对 象 、 文 件 和 文件 夹 、 打 印 机 、 注 册 表 项 、 进 程 以 及 线程 ] 的 所 | Administrators 
有 权 有 权 
此 用 户 权限 确定 哪些 用 户 即使 在 不 具有 对 已 饥 历 目录 的 权限 时 ， 也 可 以 遍 | Everyone、Local Service、 
二 过 这 历险 查 | 历 目 录 桔 。 此 权限 不 多 许 用 户 列 出 目录 的 内 容 ， 仅 多 许 馆 历 目 录 。 此 用 户 | Network 。 Servies 
权限 是 在 默认 域 控制 器 组 策略 对 象 以 及 工作 站 和 服务 器 的 本 地 安全 策略 | Administrators 、Users 、 
中 进行 定义 的 Backup Operators 
将 此 权限 分 配给 用 户 使 代表 该 用 户 运行 的 程序 能 够 模拟 客户 端 。 此 种 模拟 _ 
Local Service 、 Network 
身份 验证 后 模 | 要 求 此 用 户 权限 可 防止 未 经 授权 的 用 户 说 服 客户 端 连接 (例如 ， 通 过 远程 
Service、Administrators、 
拟 客户 端 过 程 调用 (RPC] 或 命名 管道) 到 他 们 已 创建 的 服务 ， 然 后 模拟 该 客户 端 ， 这 |、 
样 会 将 未 经 授权 的 用 户 的 权限 提升 至 管理 级 别 或 系统 级 别 EN 
此 安全 设置 确定 进程 可 以 使 用 哪些 账户 将 项 目 添加 到 安全 日 志 中 。 安全 日 
生成 安全 审核 | 志 用 于 跟踪 未 授权 的 系统 访问 。 如 果 启用 了 “审核 : 如 果 无 法 记录 安全 审 | Local Service 、 Network 
核 ， 则 立即 关闭 系统 ”安全 策略 设置 ， 则 误 用 此 用 户 权限 会 导致 生成 许多 | service 
审核 事件 ， 可 能 隐藏 攻击 证 据 或 导致 拒绝 服务 
提高 计 划 优 | 此 安全 设置 确定 哪些 三 可 以 使 用 对 另 一 个 进程 具有 Write Property 访问 
7 权限 的 进程 来 提高 分 配给 其 他 进程 的 执行 优先 级 。 具 有 此 权限 的 用 户 可 以 | Administrators 
通过 任务 管理 器 用 户 界面 更 改进 程 的 计划 优先 级 
| 此 安全 设置 确定 哪些 用 户 账户 可 以 调用 应 用 程序 编程 接口 ， 从 而 使 一 个 服 
替换 一 个 进程 R _ | Local Service 、 Network 
pi 务 能 够 启动 另 一 个 服务 。 任 务 计划 程序 是 使 用 此 用 户 权限 的 进程 的 一 个 示 | 。 
例 。 有 关 任务 计划 程序 的 信息 ， 请 参阅 任务 计划 程序 概述 Ee 
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策 略 功能 说 明 默认 用 户 账户 和 组 
此 用 户 权限 确定 哪些 用 户 可 以 将 调试 程序 连接 到 任何 进程 或 连接 到 内 
核 。 不 需要 将 此 用 户 权限 分 配给 正在 调试 自己 的 应 用 程序 的 开发 人 员 。| ， 
调试 新 系统 组 件 的 开发 人 员 将 需要 此 用 户 权限 来 执行 相应 操作 。 此 用 户 | 人 "os 
权限 提供 对 敏感 和 关键 系统 组 件 的 完全 访问 权限 
a 
ee 此 安全 设置 确定 禁止 哪些 用 户 和 组 作为 终端 服务 客户 端 登录 没有 任何 用 户 账户 
通过 终端 服务 允 Administrators 、 Remote 
此 安全 设置 确定 哪些 用 户 或 组 具有 作为 终端 服务 客户 端 登录 的 权限 
许 登 录 Desktop Users 
同步 目录 服务 数 | 此 安全 设置 确定 哪些 用 户 和 组 有 权 同 步 所 有 目录 服务 数据 ， 也 称 为 
没有 任何 用 户 账户 。 
据 Active Directory 同步 
为 进程 调整 内 存 | 此 权限 确定 谁 可 以 更 改进 程 可 消耗 的 最 大 内 存 。 此 用 户 权限 是 在 默认 域 | Local Service 、 Network 
配额 控制 器 组 策略 对 象 以 及 工作 站 和 服务 器 的 本 地 安全 策略 中 进行 定义 的 | Service、Administrators 
信任 计算 机 和 用 
i 些 用 户 可 以 在 用 户 或 计算 机 对 象 上 ， 设 置 “ 
户 几 户 可 以 执行 | 此 安全 设 和 确定 世上 用 户 可 以 在 用 户 或 计算 机 对 银 上 ， 设 和 “已 为 委派 | 在 条 用 户 下 
信任 ”设置 
委派 
此 安全 设置 确定 谁 可 以 修改 固件 环境 值 。 固 件 环境 变量 是 在 非 基于 x86 
宫 
修改 因 伯 环 境 什 | 的 计算 机 的 稳定 RAM 中 存储 的 设置 。 该 设置 的 效果 依 闲 于 处 理 器 人 
个 政 一个 对 银 | 此 权限 沁 定 哪 上 用 户 三 户 可 以 修改 对 条例 如 文件 、 注 册 表 项 或 其 他 用 
户 所 拥有 的 进程 ) 的 完整 性 标签 。 在 用 户 账户 下 运行 的 进程 可 以 将 该 用 | 没有 任何 用 户 账户 
户 所 拥有 的 对 象 标签 修改 为 没有 此 权限 的 更 低级 别 
此 登录 权限 确定 哪些 用 户 能 以 交互 方式 登录 到 此 计算 机 。 通 过 在 连接 的 
键盘 上 按 CtrltAlt+Del 组 合 键 序列 启动 的 登录 要 求 用户 具 有 此 登录 权 
Administrators 、Users 、 
允许 在 本 地 登录 | 限 。 此外， 可 以 痘 录用 户 的 某 些 服务 或 管理 应 用 程序 可 能 要 求 此 登录 权 | ， 
限 。 如 果 为 某 个 用 户 或 组 定义 此 策略 ， 则 还 必须 向 Administrators 组 授 | opera 
予 此 权限 
增加 进程 工作 集 | 此 安全 设置 确定 允许 那些 用 户 增加 运行 进程 时 所 需 访问 的 页 面 数量 。 | Users 
此 安全 设置 确定 哪些 用 户 和 组 可 以 在 卷 上 运行 维护 任务 ， 如 远程 碎片 整 
理 。 需 要 注意 的 是 ， 具 有 此 用 户 权限 的 账户 可 以 浏览 磁盘 及 将 文件 扩展 
执行 卷 维护 任务 dmini 
到 包含 其 他 数据 的 内 存 中 。 当 打开 扩展 的 文件 时 ， 用 户 可 能 能 够 读 取 和 | 人 nos 
修改 获得 的 数据 
作为 服务 登录 。 | 此 安全 设置 确定 哪些 服务 账户 可 以 将 进程 注册 为 服务 没有 任何 用 户 账户 
Administrators 、 Backup 
作为 批 处 理 作业 | 此 安全 设置 使 用 户 能 够 通过 批 处 理 队列 实用 程序 登录 ， 并 仅 提供 用 于 与 
Operators 、 Performance 
登录 旧版 本 的 Windows 的 兼容 性 
Log Users 
作为 受信 任 的 呼 
人 此 安全 设置 用 于 确定 叫 些 远程 访问 账户 可 以 访问 本 地 服务 器 或 网 络 上 | ， 任何 用 户 由 
的 凭据 管理 器 ， 存 在 很 大 的 风险 ， 建 议 不 要 轻易 使 用 
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这 里 以 “备份 文件 和 目录 ”为 例 ， 介 绍 如 何 配置 用 户 权限 分 配 策略 。 主 要 操作 步骤 如 下 。 

@ 双击 “备份 文件 和 目录 ”策略 ， 显 示 如 图 4-30 所 示 的 “备份 文件 和 目录 属性 ”对 话 框 ， 列 表 中 
显示 的 是 策略 默认 的 用 户 账户 和 组 。 

回 单 击 “ 添 加 用 户 或 组 ”按钮 ， 显 示 如 图 4-31 所 示 的 “选择 用 户 或 组 ”对 话 框 。 在 “输入 对 象 名 称 
来 选择 ”文本 框 中 ， 输 入 想 要 添加 的 用 户 账户 或 组 。 
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图 4-30 “备份 文件 和 目录 属性 ”对 话 框 图 4-31 “选择 用 户 或 组 ”对 话 框 
@ 单 击 “ 确 定 ”按钮 ， 即 可 将 其 添加 至 策略 允许 的 对 象 列表 中 ， 如 图 4-32 所 示 。 


图 4-32 成 功 为 策略 允许 的 对 象 列表 添加 用 户 账户 


图 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 使 用 相同 的 方法 即 可 定义 其 他 用 户 权限 分 配 策略 ， 此 处 不 复 
更 述 。 
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4.3.4 设备 限制 安全 策略 


通过 在 所 有 客户 端 计算 机 上 部 署 硬件 设备 安装 限制 安全 策略 ， 可 以 阻止 用 户 随便 在 计算 机 上 安装 任何 
硬件 设备 ， 导 致 不 必要 的 系统 安全 问题 。 例 如 ， 通 过 限制 使 用 U 盘 等 可 移动 存储 设备 ， 不 仅 可 以 阻止 部 分 
病毒 的 传播 ， 还 可 以 避免 重要 的 信息 失 窗 。 组 策略 中 的 管理 模板 策略 有 两 个 级 别 的 控制 权 ， 第 一 个 级 别 可 
以 阻止 设备 驱动 的 安装 ， 特 别 是 移动 存储 设备 。 第 二 个 级 别 控制 对 资源 的 访问 。 管 理 员 通 过 限制 从 可 移动 
存储 设备 中 读 取 和 向 其 中 写 入 的 数据 ， 就 可 以 保护 内 部 数据 安全 。 


.| 提示 : 此 处 以 硬件 设备 的 GUID 为 例 ， 禁 止 安装 指定 的 硬件 设备 。 


Q@ 将 任意 U 盘 插入 计算 机 的 USB 接口， 打开“ 计算 机 管理 ”一 “设备 管理 器 ”窗口 ， 展 开 “ 磁 盘 驱 
动 器 ”选项 ， 显 示 如 图 4-33 所 示 的 窗口 。 

回 右 击 U 盘 对 应 的 设备 名 称 ， 选 择 “ 属 性 ”选项 ， 在 打开 对 话 框 中 单 击 “ 详 细 信息 ”， 切 换 至 如 
图 4-34 所 示 的 “详细 信息 ”选项 卡 。 在 “属性 ”下 拉 列 表 框 中 选择 “设备 类 GUID ”选项 , 在 “ 值 ” 
列表 框 中 显示 的 就 是 TU 盘 类 设备 对 应 的 GUID， 将 此 值 复制 到 粘贴 板 即 可 。 


图 4-33 “计算 机 管理 ”窗口 图 4-34 “详细 信息 ”选项 卡 


单 击 “ 确 定 ”按钮 ， 关 闭 对 话 框 。 

在 组 策略 管理 器 窗口 中 ， 依 次 展开 “计算 机 配置 ”一 “管理 模板 ”一 “系统 ”一 “设备 安装 ”一 
“设备 安装 限制 ”， 显 示 如 图 4-35 所 示 的 窗口 。 

双击 “阻止 安装 与 下 列 任何 设备 ID 相 匹配 的 设备 ” 策略， 显示 如 图 4-36 所 示 的 对 话 框 , 选择 “已 
启用 ” 单 选 按钮 。 

单 击 “ 显 示 ” 按 钮 ， 显 示 “ 显 示 内 容 ” 对 话 框 ， 默 认 此 列表 为 空白 。 单 击 “ 添 加 ”按钮 ， 显 示 “ 添 
加 项 目 ” 对 话 框 ， 将 复制 到 粘贴 板 的 U 盘 类 设备 GUID， 粘 贴 到 “输入 要 添加 的 项 目 ” 文 本 框 中 
即 可 ， 如 图 4-37 所 示 。 


@ ©eg@ 


@ 
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图 4-36 “阻止 安装 与 下 列 任何 设备 ID 相 匹配 的 设备 属性 ”对 话 框 


@ ”连续 单 击 “确定 ”按钮 ， 保 存 设置 即 可 。 由 于 以 上 策略 只 是 阻止 使 用 U 盘 类 设备 ， 所 以 应 用 此 策 
略 后 ， 用 户 仍 可 以 将 U 盘 插 入 USB 接口 ， 并 且 系 统 会 自动 为 其 安装 驱动 程序 ， 但 是 在 资源 管理 器 
中 打开 时 ， 会 发 现 U 盘 对 应 的 可 用 磁盘 空间 为 0， 不 会 显示 任何 数据 ， 如 图 4-38 所 示 。 
这 些 措施 ， 并 不 能 从 根本 上 解决 核心 数据 的 安全 问题 。 恶 意 用 户 仍然 可 以 通过 电子 邮件 发 送 数据 ， 并 
且 ， 如 果 管理 员 的 话 ， 具 备 工作 站 或 服务 器 的 物理 操作 权限 ， 则 盗 取 数据 更 是 易如反掌 。 所 以 说 ， 最 完美 
的 解决 方案 是 ， 确 保 核心 数据 的 访问 权限 ， 而 不 是 仅仅 依靠 组 策略 。 


© 注意 : 如 果 在 应 用 设备 限制 策略 之 前 ， 用 户 已 经 将 移动 设备 安装 到 系统 中 ， 则 不 能 阻止 用 户 的 正常 应 用 ， 
该 策略 会 在 用 户 取 下 设备 并 再 次 安装 移动 设备 时 生效 
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图 4-37 “添加 项 目 ” 对 话 框 图 4-38 U 盘 当前 不 可 用 


4.4 软件 限制 策略 


软件 限制 策略 主要 用 于 控制 应 用 程序 的 安装 ， 如 间谍 软件 、 恶 意 程序 等 ， 可 以 为 策略 作用 域 下 用 户 的 
软件 使 用 进行 限制 。 顾 名 思 义 ， 软 件 限制 策略 就 是 限制 某 些 软件 的 使 用 。 使 用 组 策略 的 限制 软件 策略 ， 可 
以 通过 规则 标识 并 设置 安全 级 别 来 指定 软件 是 否 运行 ， 从 而 达到 客户 端 计算 机 系统 的 可 管理 性 、 安 全 性 。 
使 用 目的 是 控制 不 信任 的 和 不 被 允许 的 软件 在 网 络 内 的 非法 使 用 。 


4.4.1 软件 限制 策略 简介 


使 用 软件 限制 策略 ， 可 通过 标识 并 指定 允许 运行 的 软件 来 保护 计算 机 环境 免 受 不 信任 软件 的 侵袭 。 可 
以 为 组 策略 对 象 定 义 “ 不 受 限 的 ”或 “不 允许 的 ”的 默认 安全 级 别 ， 从 而 决定 是 否 在 默认 情况 下 允许 软件 
运行 。 通 过 为 特定 软件 创建 软件 限制 策略 规则 ， 可 以 相对 于 默认 安全 级 别 做 出 例外 安排 。 软 件 限制 策略 使 
用 规则 来 标识 和 控制 软件 的 运行 方式 。 可 以 通过 软件 程序 的 哈 希 、 证 书 、 路 径 或 其 所 驻 留 的 Internet 区 域 
对 其 进行 标识 。 对 软件 进行 了 标识 后 ， 可 以 决定 是 否 允 许 运行 。 

软件 限制 策略 可 应 用 于 计算 机 或 用 户 ， 这 取决 于 是 修改 了 “计算 机 配置 ”中 的 设置 还 是 “用 户 配置 ” 
中 的 设置 。 软 件 限制 策略 是 通过 组 策略 得 以 应 用 的 。 需 要 将 策略 设置 应 用 于 组 策略 对 象 ， 该 对 象 与 本 地 计 
算 机 、 站 点 、 域 或 组 织 单位 相连 。 如 果 应 用 了 多 个 策略 设置 ， 将 遵循 以 下 的 优先 级 顺序 (从 低 到 高 ): 

”本 地 计算 机 策略 。 

”站 点 策略 。 

a” 域 策略 。 

”组 织 单位 策略 。 

所 有 策略 设置 在 重新 启动 计算 机 后 都 会 被 刷新 。 修改 策略 设置 时 , 在 工作 站 或 服务 器 上 将 每 90 分 钟 刷 
新 一 次 ， 而 在 域 控制 器 上 将 每 5 分 钟 刷新 一 次 。 不 管 是 否 更 改 了 策略 设置 ， 它 们 都 会 每 16 小 时 刷新 一 次 。 
通过 先 运行 强制 刷新 组 策略 命令 gpupdate /force， 然 后 注销 计算 机 并 重新 登录 来 刷新 策略 设置 。 


E159.7 


软件 限制 策略 中 的 规则 标识 一 个 或 多 个 应 用 程序 ， 以 指定 是 否 允 许 其 运行 。 软 件 限制 策略 使 用 下 列 4 
个 规则 来 标识 软件 : 
时。 哈 希 规则 。 使 用 可 执行 文件 的 加 密 密 钥 。 
于 “证书 规则 。 用 软件 发 布 者 为 .exe 文件 提供 的 数字 签名 证 书 。 
时 路径 规 则 。 使 用 .exe 文件 位 置 的 本 地 路 径 、 通 用 命名 约定 (UNC) 路 径 或 注册 表 路 径 。 
”区 域 规则 。 使 用 可 执行 文件 源 自 的 Internet 区 域 。 
使 用 软件 限制 策略 可 以 实现 以 下 目的 : 
控制 软件 在 系统 中 的 运行 能 力 。 
人 允许 用 户 在 多 用 户 计算 机 上 仅 运 行 特定 文件 。 
决定 可 以 在 计算 机 中 添加 信任 的 发 布 者 的 用 户 。 
控制 软件 限制 策略 是 作用 于 所 有 用 户 ， 还 是 仅 作用 于 计算 机 上 的 某 些 用 户 。 
阻止 任何 文件 在 本 地 计算 机 、 组 织 单位 、 站 点 或 域 中 运行 。 


4.4.2 ”安全 级 别 设置 


使 用 软件 限制 策略 可 以 标识 并 指定 允许 运行 的 软件 , 以 便 保护 计算 机 环境 不 会 受到 不 可 信 代 码 的 攻击 。 
使 用 软件 限制 策略 时 ,可 以 为 组 策略 对 象 (GPO) 定 义 系统 默认 的 安全 级 别 的 一 种 ,不 受 限 的 、 不 允许 的 或 基 
本 用 户 ， 使 得 在 默认 情况 下 或 者 允许 软件 运行 ， 或 者 不 允许 软件 运行 ， 或 者 以 用 户 账户 身份 而 定 。 


1. 创建 软件 限制 策略 


默认 情况 下 ，Windows Server 2008 并 没有 配置 软件 限制 策略 ， 在 “本 地 组 策略 编辑 器 ”窗口 中 ， 依 
次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “软件 限制 策略 ”选项 ， 显 示 如 图 4-39 所 
示 的 窗口 。 如 果 是 在 Windows 域 控 制 器 上 , 编辑 作用 于 站 点 或 组 织 单位 的 组 策略 , 则 在 “用 户 配 置 ” 一“ 策 
略 ? 一 “Windows 设置 "一 “安全 设置 ”一 “软件 限制 策略 ”分 支 中 , 同样 可 以 创建 软件 限制 策略 (以 Windows 
Server 2008 域 控制 器 为 例 ]。 
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右 击 “软件 限制 策略 ”并 选择 快捷 菜单 中 的 “创建 软件 限制 策略 ”命令 ， 系 统 将 自动 完成 策略 类 型 的 
构建 ， 右 侧 窗 口中 即 可 显示 可 以 配置 的 策略 项 目 ， 如 图 4-40 所 示 。 


图 4-40 创建 软件 限制 策略 


2. 设置 安全 级 别 


安全 级 别 指 的 是 操作 系统 对 应 用 策略 所 具备 的 访问 级 别 , 创建 软件 限制 策略 后 , 继续 展开 “安全 级 别 ”， 
显示 如 图 4-41 所 示 窗 口 。 默 认 情况 下 ，Windows Server 2008 系统 中 包括 如 下 3 种 安全 级 别 。 


无 论 用 户 8 访问 权 如 何 ， 软 件 都 不 会 运行 。 
允许 程序 访问 一 磐 用 户 可 以 访 ja 资源 ， 但 没有 管理 员 的 访问 权 。 
软件 访问 权 由 用 户 的 访问 权 来 决定 。 
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不 允许 的 。 无 论 用 户 的 访问 权限 如 何 ， 软 件 都 不 会 运行 。 
基本 用 户 。 允 许 程序 访问 一 般 用 户 可 以 访问 的 资源 ， 但 没有 管理 员 的 访问 权 。 
不 受 限 的 。 软 件 访问 权 由 用 户 的 访问 权 来 决定 。 


其 中 ，“ 基 本 用 户 ” 是 Windows Server 2008 系统 新 增 的 安全 级 别 。Windows Server 2008 的 默认 设 


置 均 为 “不 受 限 的 ”， 即 软件 访问 权限 由 用 户 账 户 自身 的 权限 决定 。 


Windows 系统 的 默认 安全 级 别 为 “不 受 限 的 ”， 管 理 员 可 根据 需要 修改 其 他 默认 安全 级 别 。 
加 ”双击 “不 允许 的 ”项 目 ， 显 示 如 图 4-42 所 示 的 “不 允许 的 属性 ”对 话 框 ， 当 前 状态 为 “不 是 默 


认 级 别 ”。 


@ 单 击 “ 设 为 默认 ”按钮 ， 显 示 如 图 4-43 所 示 的 “软件 限制 策略 ”对 话 框 ， 提 示 所 选择 的 默认 等 级 


比 当前 默认 等 级 还 要 严格 ， 更 改 后 可 能 会 导致 一 些 应 用 程序 停止 工作 。 


人 A 


[wm ]_ sw | 


图 4-42 “不 允许 的 属性 ”对 话 框 图 4-43 “软件 限制 策略 ”对 话 框 


@ 单 击 “ 是 ”按钮 ,确认 设置 即 可 。 返 回 “ 不 允许 的 属性 ”对 话 框 ， 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 
3. 设置 路 径 规则 
路 径 规则 用 于 指定 程序 的 文件 夹 路 径 或 完全 限定 路 径 。 当 路 径 规 则 指定 文件 夹 时 ， 将 匹配 该 文件 夹 中 


包含 的 任何 程序 以 及 相关 子 文件 夹 中 包含 的 任何 程序 。 路 径 规则 既 支 持 本 地 路 径 也 支持 UNC 路 径 。 


(了 ) 应 用 程序 路 径 规则 
路 径 规则 允许 对 软件 所 在 的 路 径 进行 标识 ， 还 允许 使 用 软件 的 注册 表 路 径 规则 。 由 于 路 径 规 则 软件 限 


制 策略 是 按照 软件 所 在 的 路 径 指定 的 ， 路 径 移 动 后 ， 该 软件 限制 策略 将 不 再 适用 。 


管理 员 必 须 在 路 径 规 则 中 定义 用 于 启动 特定 应 用 程序 的 所 有 目录 。 例 如 ， 如 果 管 理 员 在 桌面 上 创建 了 


一 个 用 于 启动 应 用 程序 的 快捷 方式 ， 则 在 路 径 规则 中 ， 用 户 必 须 能 够 同时 访问 可 执行 文件 路 径 和 快捷 方式 
路 径 才 能 运行 该 应 用 程序 。 试图 仅 使 用 这 两 个 路 径 之 一 来 运行 应 用 程序 将 触发 “Software Restricted ”警告 。 


默认 情况 下 ,所 有 应 用 程序 使 用 %ProgramFiles% 变 量 作为 安装 目录 ,如 果 将 该 变量 设置 为 不 同 驱动 器 


上 的 其 他 目录 ， 某 些 应 用 程序 仍 会 将 文件 复制 到 原来 的 %Program Files% 子 目录 中 。 因 此 ， 最 好 将 路 径 规 
则 定义 到 默认 目录 位 置 。 
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(2] 注册 表 路 径 规则 


许多 应 用 


程序 将 其 安装 文件 夹 或 应 用 程序 目录 的 路 径 存储 在 系统 注册 表 中 。 有 些 应 用 程序 可 以 安装 在 
文件 系统 中 的 任何 位 置 ， 管 理 员 可 以 创建 路 径 规 则 来 查找 这 些 应 用 程序 对 应 的 注册 表 项 。 
使 用 特定 文件 夹 路 径 或 环境 变量 可 能 不 会 很 容易 地 标识 这 些 位 置 。 但 是 ， 如 果 程 序 将 其 应 月 


程序 目录 


存储 在 注册 表 中 , 则 可 以 创建 一 个 路 径 规 则 , 该 路 径 规则 将 使 用 注册 表 中 所 存储 的 值 , 格式 为 : %<Registry 
Hive>\<Registry Key Name>\<Value Name>9%。 

如 果 将 默认 规则 设置 为 “不 允许 的 ”， 将 设置 4 个 注册 表 路 径 ， 以 便 操 作 系统 能 够 访问 系统 文件 以 执 
行 正常 操作 。 创 建 这 些 注册 表 路 径 规 则 是 为 了 避免 将 自己 和 所 有 其 他 用 户 锁定 在 系统 之 外 。 这 些 注册 表 规 
则 被 设置 为 “不 受 限 的 ”。 只 有 高 级 用 户 才 可 以 修改 或 删除 这 些 规则 。 注 册 表 路 径 规则 设置 如 下 所 示 : 

m WHKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot% 

m WHKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot%\ 


*.exe 


m WHKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\ 


System32\*.exe 


m %HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 


(3] 路 径 规则 建议 


使 用 表 4-3 可 以 确定 最 适合 于 应 用 程序 的 用 户 和 环境 的 路 径 规则 。 


表 4-3 任务 与 推荐 规则 


任务 
允许 或 不 允许 特定 程序 版 本 


标识 始终 安装 在 同一 位 置 的 程序 


标识 可 以 安装 在 客户 端 计算 机 上 的 任何 位 置 的 
程序 
标识 中 央 服 务 器 上 的 一 组 脚本 


标识 一 组 服务 器 上 的 一 组 脚本 
例如 ，DC01、DC02 和 DC03 


禁止 所 有 .vbs 文件 ， 但 登录 脚本 目录 中 的 .vbs 文 
件 除外 


推荐 规则 
哈 希 规则 
浏览 到 文件 以 创建 哈 希 
带 有 环境 变量 的 路 径 规则 
WProgramFiles%\Internet Explorer\iexplore.exe 
注册 表 路 径 规则 


WHKEY_LOCAL MACHINE\SOFTWARE\ 
ComputerAssociates\InoculateIT\6.0\Path\HOME% 
路 径 规则 

SERVER_NAME\Share 
带 有 通配符 的 路 径 规则 

DC??\Share 
带 有 通配符 的 路 径 规则 
*VBS 设置 为 “不 允许 的 ” 
\\LOGIN_SRV\Share\*.VBS 设置 为 “不 受 限 的 ” 


不 允许 由 病毒 安装 的 名 称 始终 为 Nessexe 的 文件 | 省 规 则 
Hiessexe 设置 为 “不 允许 的 ” 
证 书 规则 
标识 一 组 可 以 在 任何 位 置 运行 的 肚 本 
Ce 使 用 证 书 对 脚本 进行 数字 签名 
区 域 规则 


允许 从 受信 任 的 Internet 区 域 站 点 安装 软件 


将 “受信 任 的 站 点 ”设置 为 “不 受 限 的 ” 
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@ 安全 内 幕 
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(和 注册 表 路 径 限 制 实施 


@ 单 击 “ 开 始 ”按钮 ， 在 “开始 搜索 ”文本 框 中 ,输入 regedit 并 按 Enter 键 ， 打 开 “ 注 册 表 编辑 器 ” 
窗口 ， 找 到 想 要 设置 路 径 规则 的 应 用 程序 对 应 的 注册 表 项 ， 如 mmc。 依 次 展开 
“HKEY_LOCAL MACHINE” 一 “SOFTWARE” 一 “Microsoft” 一 “MMC”， 右 击 MMC 并 选择 快 
捷 菜 单 中 的 “复制 项 名 称 ”命令 ， 如 图 4-44 所 示 。 


图 4-44 “注册 表 编 辑 器 ”窗口 


加 在 “本 地 组 策略 编辑 器 ”窗口 中 ， 展开 “软件 限制 策略 ”中 的 “其 他 规则 ”项 目 ， 如 图 4-45 所 示 ， 
系统 默认 已 经 设置 了 “9%SystemRoot%” 和 “9%ProgramFilesDir%” 的 路 径 限 制 ， 并 且 默 认 软件 
访问 规则 为 “不 受 限 的 ”。 


Narr entYer si on\systenkcots 
Niadons\CerrentVersion\Progr FilesDiry 


图 4-45 ”其 他 规则 
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图 右 击 “ 其 他 规则 ”， 选 择 快捷 菜单 中 的 “新 建 路 径 规则 ”命令 ， 如 图 4-46 所 示 。 


oft Windows\CurrentYersion\Progr saFilesDir 
Mindors WT\CurrentYersion\SystenRootk 


图 4-46 ”新建 路 径 规 则 


图 打开 “新 建 路 径 规则 ”对 话 框 , 在 “路 径 ” 文 本 框 中 ,粘贴 已 复制 的 注册 表 项 ,并 在 首位 加 上 “%” 
符号 。 在 “安全 级 别 ” 下 拉 列 表 中 ， 选 择 想 要 设置 的 安全 级 别 ， 如 “不 允许 ”， 为 了 便于 区 分 还 
可 以 在 “描述 ”文本 框 中 ， 输 入 相关 描述 信息 ， 如 图 4-47 所 示 。 


ET x 


图 4-47 “新 建 路 径 规则 ”对 话 框 


SG 提示 : 除 此 之 外 ， 也 可 以 单 击 “ 浏 览 ”按钮 ， 为 本 地 计算 机 上 的 制定 文件 加 设置 访问 规则 。 


回 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 
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4.4.3 ”默认 规则 


创建 软件 限制 策略 的 同时 ，Windows 系统 已 经 默认 安装 了 部 分 安全 规则 ， 包 括 强 制 、 指 派 文 件 类 型 和 
受信 任 的 发 布 者 。 
1. 强制 


除非 为 组 策略 指定 一 个 明显 的 强制 规则 ， 否 则 策略 将 对 组 下 的 所 有 用 户 生 效 。 组 策略 允许 对 默认 的 安 
全 级 别 做 其 他 安排 。 如 果 默 认 的 安全 级 别 是 “不 允许 的 ”， 则 
可 以 为 他 指定 一 个 新 的 规则 ， 来 允许 软件 的 运行 。 对 同一 个 软 
件 可 以 使 用 多 个 规则 ,将 由 具备 最 高 优先 权 的 规则 来 指定 软件 
是 否 运行 。 在 “软件 限制 策略 ” 右 侧 窗口 中 ， 双 击 “ 强 制 ” 显 
示 如 图 4-48 所 示 的 “强制 属性 ”对 话 框 。 
(D 应 用 软件 限制 策略 到 下 列 文件 
在 该 选项 区 域 ， 管 理 员 可 以 对 目标 文件 的 类 型 进行 限制 ， 
系统 默认 选择 “除去 库 文件 (如 DLL) 之 外 的 所 有 软件 文件 ” 单 
选 按钮 。 一 个 应 用 软件 ， 可 能 涉及 很 多 后 台 的 DLL 文件 ， 如 果 
选择 对 所 有 软件 文件 进行 限制 ， 其 他 软件 调用 的 时 候 可 能 会 产 
生 程 序 关联 错误 ， 建 议 使 用 除去 库 文件 之 外 的 所 有 软件 文件 ， 
即 保持 系统 默认 设置 。 
大 多 数 程序 都 由 可 执行 文件 和 许多 支持 DLL 文件 组 成 。 默 图 4-48 “强制 属性 ”对 话 框 
认 情 况 下 , 不 会 对 DLL 强制 实施 软件 限制 策略 规则 。 这 是 针对 
大 多 数 客户 的 推荐 选项 ， 下 面 列 出 了 这 样 做 的 3 个 原因 : 
里 “不 允许 主要 可 执行 文件 可 以 阻止 程序 运行 ， 因 此 无 需 再 阻止 构成 程序 的 DLL。 
se 由 于 DLL 必须 检查 链接 到 应 用 程序 的 所 有 库 ， 因 此 会 降低 系统 性 能 。 例 如 ， 如 果 用 户 在 登录 会 话 
中 运行 了 10 个 程序 ， 则 软件 限制 策略 将 评估 每 个 程序 。 打 开 DLL 检查 后 ， 软 件 限制 策略 将 评估 
每 个 程序 中 的 每 个 DLL 负载 。 如 果 每 个 程序 使 用 20 个 DLL， 这 将 导致 10 个 可 执行 程序 检查 以 
及 200 个 DLL 检查 ， 因 此 软件 限制 策略 必须 执行 210 次 评估 。Internet Explorer 之 类 的 程序 由 可 
执行 文件 、iexplore.exe 和 多 个 支持 DLL 组 成 。 
里。 将 默认 安全 级 别 设置 为 “不 允许 的 ”， 将 强制 系统 不 仅 要 标识 主要 可 执行 文件 (在 允许 该 程序 运行 
之 前 )， 还 要 标识 作为 .exe 文件 组 成 部 分 的 所 有 DLL， 这 将 加 重 系统 负担 。 
(2] 将 软件 限制 策略 应 用 到 下 列 用 户 
在 该 选项 区 域 ， 管 理 员 可 以 设置 软件 限制 策略 应 用 到 的 用 户 账 户 ， 默 认为 所 有 账户 ， 但 由 于 软件 策略 
的 应 用 可 能 会 影响 到 管理 员 正常 的 系统 管理 和 维护 操作 ， 因 此 ， 建 议 选择 “ 除 本 地 管理 员 以 外 的 所 有 用 户 ” 
单 选 按钮 。 
如 果 在 链接 到 Active Directory 中 的 对 象 的 GPO 中 创建 了 软件 限制 策略 , 则 建议 拒绝 将 此 GPO 上 的 “应 
用 组 策略 ”权限 授予 Administrators 组 。 
(3] 在 应 用 软件 限制 策略 时 
在 该 选项 区 域 ， 管 理 员 可 以 设置 应 用 软件 限制 策略 时 ， 是 否 执行 证 书 规则 ， 系 统 默认 是 不 执行 的 。 如 


一 En | 
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果 本 地 计算 机 或 所 在 网 络 中 配置 了 证 书 服务 器 ， 则 可 以 选择 “执行 证 书 规则 ” 单 选 按钮 ， 即 执行 软件 限制 
策略 的 同时 执行 证 书 规则 中 的 权限 限制 。 需 要 注意 的 是 ， 此 时 可 能 会 占用 过 多 的 系统 资源 。 


2. 指派 文件 类 型 


在 “软件 限制 策略 ” 右 侧 的 对 象 类 型 列表 中 , 双击 “指派 的 文件 类 型 ” 策略 ， 显 示 如 图 4-49 所 示 的 “ 指 
派 的 文件 类 型 属性 ”对 话 框 。 该 对 话 框 列 出 了 软件 限制 策略 控制 的 文件 类 型 ， 指 派 的 文件 类 型 将 被 视 为 可 
执行 文件 。 例如， 屏幕 保护 文件 (.scr) 便 被 视 为 可 执行 文件 ， 因 为 在 Windows 资源 管理 器 中 双击 该 文件 时 ， 
将 作为 程序 被 加 载 。 

软件 限制 策略 规则 只 适用 于 “指派 的 文件 类 型 属性 ”对 话 框 列 出 的 文件 类 型 。 如 果 环 境 使 用 要 应 用 规 
则 的 文件 类 型 ， 将 该 文件 类 型 添加 到 列表 中 。 例如， 在 “文件 扩展 名 ”文本 框 中 输入 “docx”， 并 单 击 “ 添 
加 ”按钮 ， 即 可 将 其 添加 至 “指定 的 文件 类 型 ”列表 中 。 


3. 受信 任 的 发 布 者 


在 “软件 限制 策略 ” 右 侧 的 对 象 类 型 列表 中 ， 双 击 “ 受 信任 的 发 布 者 ”显示 如 图 4-50 所 示 的 “受信 任 
的 发 布 者 属性 ”对 话 框 。 选 中 “定义 这 些 策 略 设置 ” 复 选 框 ， 管 理 员 可 以 在 这 里 配置 哪些 用 户 可 以 选择 受 
信任 的 出 版 商 ， 还 可 以 确定 在 信任 发 布 者 之 前 执行 哪些 证 书 吊 销 检查 (如 果 存在 证 书 颁 发 机 构 ]。 系 统 默 认 
设置 为 “允许 所 有 管理 员 和 用 户 管理 用 户 自己 的 受信 任 的 发 布 者 ”， 及 普通 用 户 账户 也 可 以 管理 自己 受信 
任 的 发 布 者 。 在 Windows 域 环境 中 , 管理 员 还 可 以 选择 “允许 企业 管理 员 管理 受信 任 的 发 布 者 ” 单 选 按钮 ， 
从 而 避免 普通 擅自 更 改 自己 受信 任 的 发 布 者 信息 。 


拍 基 的 文件 类 型 展 性 2 受信 任 的 发 布 者 属性 i 
农夫 | # | 
和 它 | 是 必 准 程序 文件 共 型 喇 接 定 受信 任 的 发 有 省 OAathenticote) 第 购 寺 项 
订 定义 这 对 入 中 讼 因 ] 


受信 f 拍 彼 布 者 管理 一 一 一 一 一 一 一 一 
个 记 许 所 有 管理 员 和 月 户 管理 月 户 自己 和 受信 仔 的 发 布 者 0) 


人 全 外 斌 所 用 其 管理 可 便 人 的 宙 者 ID) 
Yor 地 六 御 CA a 
ITHL 六 件 
Yindors 的 仿 
Dr 
要 潜 加 一 个 立 件 共 型 ， 嫂 入 基 扩 展 各 ， aaa | 厂 是 和] 有 所 是 具有 有 效 的 1 间 允 T) 
文件 拉 夺 术 7 
a Reo) [ i 
We |[ |] EAN 态 定 | [阳光] 靖 内 
图 4-49 “指派 的 文件 类 型 属性 ”对 话 框 图 4-50 “受信 任 的 发 布 者 属性 ”对 话 框 


在 “证 书 验 证 ”选项 区 域 ， 管 理 员 可 以 根据 需要 并 结合 自己 的 实际 情况 ， 选 择 相应 的 验证 方式 。 启 用 
证 书 规则 后 ， 软 件 限制 策略 将 检查 证 书 吊 销 列表 (CRL)， 以 确保 软件 的 证 书 和 签名 有 效 ， 这样 可 能 会 造成 签 
名 程序 启动 时 系统 性 能 的 下 降 。 通 过 验证 功能 ， 可 以 配置 与 ActiveX 控件 以 及 其 他 签名 内 容 相关 的 设置 。 
如 表 4-4 所 示 显 示 了 与 ActiveX 控件 以 及 其 他 签名 内 容 相关 的 受信 任 发 布 者 选项 。 


表 4-4 受信 任 发 布 者 选项 


设置 名 称 任务 
企业 管理 员 用 于 只 允许 企业 管理 员 进行 有 关 签 名 活动 内 容 的 决策 
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续 表 
设置 名 称 任务 
本 地 计算 机 管理 员 | 用 于 允许 本 地 计算 机 管理 员 进行 有 关 签名 活动 内 容 的 所 有 决策 
最 终 用 户 | 用 于 允许 用 户 进行 有 关 签 名 活动 内 容 的 决策 
发 布 者 | 用 于 确保 软件 发 布 者 使 用 的 证 书 未 被 吊销 
时 间 戳 用 于 确保 组 织 用 于 对 活动 内 容 加 时 间 惟 的 证 书 未 被 吊销 
4.5 IE 安全 策略 


Internet Explorer 内 置 的 许多 功能 都 允许 管理 员 或 者 电脑 使 用 者 进行 定制 。 在 企业 网 络 应 用 环境 中 ， 
为 了 减少 非法 控件 的 下 载 、 安 全 区 域 的 定制 、 统 一 部 署 浏 览 器 工具 栏 的 定义 等 可 以 在 基于 活动 目录 的 组 策 
略 应 用 中 ， 集 中 部 署 Internet Explorer 的 应 用 。 


4.5.1 阻止 恶意 程序 入 侵 


在 Windows Server 2008 系统 环境 中 使 用 正 浏览 器 上 网 浏览 网 页 内 容 时 , 时 常会 有 一 些 恶 意 程序 不 请 
自 来 ， 自 动 下 载 保 存 到 本 地 计算 机 硬盘 中 ， 这 样 不 但 会 白白 浪费 宝贵 的 硬盘 空间 资源 ， 而 且 也 会 给 本 地 计 
算 机 系统 的 安全 带 来 威胁 。 在 Windows Server 2008 系统 环境 中 ， 通 过 配置 相关 策略 ， 即 可 禁止 恶意 程序 
自动 下 载 保存 到 本 地 计算 机 硬盘 中 。 

@ 以 管理 员 账 户 登录 系统 ， 打 开 “ 本 地 组 策略 编辑 器 ”窗口 。 展 开 “ 计 算 机 配置 ”一 “管理 模板 ” 

一 “Windows 组 件 ” 一 “Internet Explorer” 一 “安全 功能 ”一 “限制 文件 下 载 ”， 显 示 如 图 4-51 
所 示 窗 口 。 
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图 4-51 “本 地 组 策略 编辑 器 ”窗口 
@ 双击 “限制 文件 下 载 ” 子 项 中 的 “Internet Explorer 进程 ”组 策略 选项 ， 显 示 如 图 4-52 所 示 的 
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“Internet Explorer 进程 属性 ”对 话 框 ， 选 择 “ 已 启用 ” 单 选 按钮 。 


图 4-52 “Internet Explorer 进程 属性 ”对 话 框 


@ 单 击 “ 确 定 ” 按 钮 ,保存 设置 ,这 样 ,Windows Server 2008 系统 就 会 自动 弹出 阻止 Internet Explorer 
进程 的 非 用 户 初始 化 的 文件 下 载 提示 ， 恶 意 程序 也 就 无 法 通过 IE 浏览 器 窗口 入 侵 本 地 计算 机 。 


4.5.2 ”禁止 改变 本 地 安全 访问 级 别 


在 一 些 公共 场合 的 计算 机 上 ,不 同 的 用 户 往往 会 根据 需要 随时 更 改 IE 浏览 器 的 安全 级 别 ,但 是 如 果 安 

全 级 别 过 低 ， 很 可 能 导致 潜藏 在 网 络 中 的 各 种 病毒 或 木马 对 本 地 计算 机 进行 恶意 攻击 ， 从 而 可 能 造成 本 地 

系统 运行 缓慢 或 者 无 法 正常 运行 的 故障 现象 。 为 了 用 户 随意 更 改 本 地 计算 机 的 安全 访问 级 别 ，Windows 
Server 2008 系统 允许 用 户 通过 相关 设置 ， 来 保护 本 地 系统 的 安全 。 

@ 以 管理 员 账户 登录 系统 ， 打 开 “ 本 地 组 策略 编辑 器 ”窗口 。 展 开 “ 计 算 机 配置 ”一 “管理 模板 ” 

一 “Windows 组 件 ” 一 
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图 4-53 ”打开 的 “Internet 控制 面板 ”窗口 
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四 mm ED 
回 ”双击 右 侧 窗口 中 的 “禁用 安全 页 ”， 显 示 如 图 4-54 所 示 的 “禁用 安全 页 属性 ”对 话 框 ， 选 择 “ 已 
启用 ” 单 选 按钮 。 


图 4-54 “禁用 安全 页 属性 ”对 话 框 


图 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 此 时 ，Internet Explorer 的 安全 设置 页 面 就 会 被 自动 隐藏 起 来 ， 
其 他 用 户 就 无 法 进入 该 安全 标签 设置 页 面 ， 无 法 随意 更 改 本 地 系统 的 安全 访问 级 别 ， 本 地 计算 机 
系统 的 安全 性 即 可 得 到 有 效 保证 。 
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在 Windows Server 2008 系统 中 ， 包 括 多 种 用 户 账 
户 , 前面 介绍 过 的 Administrator 只 是 其 中 比较 关键 的 用 
户 账户 之 一 ， 除 此 之 外 ， 还 包括 标准 账户 、 来 宾 账 户 等 ， 
在 Active Directory 中 还 包括 普通 成 员 账户 、 域 管理 员 账 
户 、 企 业 管 理 员 账户 等 。 用 户 账户 是 通 向 系统 和 网 络 的 
大 门 ， 密 码 是 开启 网 络 大 门 的 钥匙 。 用 户 账户 的 安全 与 
否 ， 将 直接 影响 系统 乃至 整个 网 络 的 安全 。 


外 关键 词 

户 账户 的 管理 

用 户 组 的 管理 

用 户 权 限 的 安全 
户 环境 安全 

域 用 户 配置 文件 安全 


5.1 用 户 账户 的 管理 


除 管 理 员 账户 之 外 ， 还 应 为 其 他 用 户 创建 一 些 普通 账户 ， 如 来 宾 账户 、 个 人 用 户 账户 等 。 为 了 确保 系 
统 或 网 络 的 安全 ， 普 通用 户 账户 的 安全 设置 也 是 不 可 小 视 的 ， 如 果 操作 不 当 很 容易 导致 安全 漏洞 。 例 如 ， 
管理 员 必须 根据 用 户 的 实际 身份 和 管理 职能 ， 及 时 调整 其 对 应 账户 的 身份 。 如 果 用 户 暂 时 离开 网 络 ， 则 可 
以 先 停 用 其 账户 ， 以 免 被 滥用。 


5.1.1 新建 用 户 账户 


在 本 地 计算 机 或 者 Windows 网 络 中 , 用 户 账户 和 用 户 是 一 一 对 应 的 。 当 需要 将 某 项 任务 指派 给 用 户 时 ， 
首先 应 为 其 创建 用 户 账户 ， 并 赋予 适当 的 操作 权限 。 在 域 环 境 中 ， 当 有 新 用 户 进入 网 络 时 ， 也 需要 在 域 控 
制 器 上 为 其 创建 对 应 的 用 户 账户 。 账 户 安全 工作 应 该 从 创建 用 户 账户 的 操作 开始 。 


1. 创建 本 地 用 户 账户 


四 以 管理 员 账户 登录 系统 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “计算 机 管理 ”命令 ， 打 开 “ 计 算 
机 管理 ”窗口 ， 依 次 展开 “系统 工具 ”一 “本 地 用 户 和 组 ”一 “用 户 ” 选 项 ， 显 示 如 图 5-1 所 示 
的 窗口 。 


图 5-1 “计算 机 管理 ”窗口 


@ 在 窗口 空白 处 右 击 ， 选 择 快捷 菜单 中 的 “新 用 户 ” 命 令 ， 打 开 如 图 5-2 所 示 的 “新 用 户 ” 对 话 框 。 
在 “用 户 名 ”文本 框 中 输入 新 用 户 名 ， 在 “密码 ”和 “确认 密码 ”文本 框 中 ， 为 该 用 户 账户 设置 
安全 密码 。 除 此 之 外 ， 还 包括 如 下 几 种 可 选 操作 : 

于 “用 户 下 次 登录 时 须 更 改 密码 。 强 制 用 户 下 次 登录 网 络 时 更 改 密码 ， 希 望 该 用 户 成 为 唯一 知道 其 密 
码 的 用 户 时 ， 可 以 选中 该 复 选 框 。 

里 “用户 不 能 更 改 密码 。 阻 止 用 户 更 改 其 密码 。 当 希望 保留 对 用 户 账户 (如 ， 来 宾 账户 ] 的 控制 权时 ， 
或 者 该 账户 是 由 多 个 用 户 使 用 时 ， 应 当 使 用 该 选项 。 同 时 ， 必 须 取 消 选 中 “用 户 下 次 登录 时 须 更 
改 密码 ” 复 选 框 。 
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于 “密码 永 不 过 期 。 防 止 用 户 密码 过 期 ， 建 议 对 “服务 ”账户 启用 该 复 选 三， 并且 应 使 用 强 密码 。 
”账户 已 禁用 。 如 果 选 中 该 复 选 框 ， 则 禁用 该 用 户 账户 。 


提示 : 如 果 某 用 户 彻底 脱离 该 计算 机 ， 则 应 当 立 即 删除 其 账户 ， 而 不 是 简单 的 禁用 。 禁 用 账户 只 是 暂停 


“了 该 用 户 的 使 用 ， 而 该 账户 ID 仍然 存在 。 删除 账户 时 ， 则 连同 其 ID 一 同 删除 ， 即 使 再 重新 创建 一 个 用 
户 名 完全 相同 的 账户 ， 其 用 户 ID 也 已 经 不 同 了 。 


@ 单 击 “ 创 建 ” 按 钮 ， 即 可 创建 一 个 新 的 用 户 账户 。 
2. 创建 域 用 户 账户 
域 环境 中 用 户 账 户 的 创建 ， 与 本 地 账户 略 有 不 同 ， 并 且 对 账户 安全 的 要 求 更 加 严格 。 默 认 情 况 下 ， 域 
控制 器 已 经 启用 了 对 用 户 账户 密码 安全 的 一 些 限 制 ， 包 括 禁 止 使 用 简单 密码 、 空 白 密码 、 使 用 期 限 等 。 域 
管理 员 或 者 被 委派 相应 权限 的 用 户 账户 ， 才 可 以 执行 创建 用 户 账户 的 操作 。 
Q@ 在 “服务 器 管理 器 ”窗口 中 ， 展 开 指定 域 控制 器 下 的 “Active Directory 用 户 和 计算 机 ”选项 ， 单 
击 Users， 显 示 如 图 5-3 所 示 的 窗口 ， 列 出 了 系统 默认 用 户 账户 。 
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图 5-2 “新 用 户 ”对 话 框 图 5-3 “Active Directory 用 户 和 计算 机 ”窗口 

@ 在 右 侧 窗口 空白 处 右 击 ， 选 择 快捷 菜单 中 的 “新 建 ” 一 “用 户 ” 命 令 ， 打 开 如 图 5-4 所 示 的 “新 
建 对 象 - 用 户 ” 对 话 框 , 输入 新 创建 的 用 户 的 信息 。 在 “ 姓 ” 文 本 框 中 输入 新 用 户 的 姓氏 ; 在 “名 ” 
文本 框 中 输入 新 用 户 的 名 称 ， 在 “用 户 登 录 名 ”文本 框 中 输入 用 户 用 来 登录 域 的 账号 名 ， “用户 
登录 名 (Windows 2000 以 前 的 版 本 ]” 是 用 户 从 Windows 2000 以 前 的 Windows 系统 登录 域 时 使 
用 的 用 户 名 ， 保 持 默 认 即 可 。 


[| 提示 : 建议 管理 员 在 创建 用 户 账户 时 ， 尽 量 输 入 详细 的 用 户 信息 ， 便 于 日 后 维护 和 安全 管理 工作 。 
图 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 5-5 所 示 的 对 话 框 ， 为 新 添加 的 用 户 指定 登录 域 时 使 用 的 密码 ， 并 指 
定 对 于 密码 的 控制 权限 。 操 作 方 法 与 在 本 地 计算 机 上 创建 用 户 账户 时 完全 相同 ， 此 处 不 复 袭 述 。 
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图 5-4 “新 建 对 象 - 用 户 ” 对 话 杠 图 5-5 设置 用 户 账户 密码 


提示 : 为 了 提高 网 络 的 安全 性 ， 对 所 有 账户 密码 的 设置 ， 应 尽量 使 用 含 字母 、 数 字 及 下 划 线 随机 组 合 的 
密码 ， 密 码 之 间 尽 量 不 相关 ， 以 确保 账户 的 安全 。 


图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 5-6 所 示 的 用 户 信息 摘要 对 话 框 ， 单 击 “ 完 成 ”按钮 ， 即 可 完成 
新 用 户 的 创建 。 


© 注意 :如 果 设置 的 密码 不 符合 Windows Server 2008 网 络 系统 密码 规则 ， 将 提示 如 图 5-7 所 示 的 “Active 
Direetory 域 服务 ”对 话 框 ， 返 回 重新 更 改 即 可 。 


图 5-6 ”确认 新 用 户 信息 图 5-7 “Active Directory 域 服务 ”对 话 框 


5.1.2 ” 重 设 用 户 密码 


密码 是 用 户 登 录 系统 和 网 络 的 唯一 赁 证， 如 果 丢 失 密码 就 无 法 登录 。 为 了 确保 用 户 可 以 继续 使 用 原 账 
户 ， 管 理 员 必须 为 其 重新 设置 密码 。 另 外 ， 即 使 没有 丢失 密码 ， 也 应 定期 更 换 不 同 的 密码 ， 以 免 因 密码 使 
用 时 间 过 长 而 被 别人 窃取 。 


1. 设置 本 地 用 户 密码 


默认 情况 下 ， 本 地 计算 机 的 系统 管理 员 账户 可 以 随时 通过 “计算 机 管理 ”工具 更 改 所 有 用 户 账户 的 登 
录 密 码 。 而 其 他 用 户 则 无 此 权限 ， 只 能 通过 更 改 密码 向 导 实 现 。 


(D 管理 员 账 户 重 设 普通 账户 密码 
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@ 打开 “计算 机 管理 ”窗口 ， 展 开 “ 本 地 用 户 和 组 ”一 “用 户 ”， 右 击 需 要 更 改 密码 的 用 户 账户 ， 
选择 快捷 菜单 中 的 “设置 密码 ”命令 ， 显 示 如 图 5-8 所 示 的 “为 hstjl 设置 密码 ”对 话 框 。 

@ 单 击 “ 继 续 ” 按 钮 ， 显 示 如 图 5-9 所 示 的 对 话 框 ， 在 “新 密码 ”和 “确认 密码 ”文本 框 中 输入 新 
密码 。 由 于 用 户 加 密 文件 和 个 人 安全 证 书 中 都 包含 有 原来 的 密码 信息 ， 更 改 后 将 无 法 访问 这 些 加 
密 文 件 并 失去 个 人 安全 证 书 的 访问 权 。 除 非 用 户 账户 密码 丢失 ， 建 议 管理 员 慎 重 使 用 该 方式 为 成 
员 用 户 重 设 密码 。 


有 有 关于 地 信息 ， 请 二 “网 ”* 


a | mam| 


图 5-8 “为 hstjl 设 置 密码 ”对 话 框 图 5-9 输入 新 密码 对 话 框 
@ 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 5-10 所 示 的 “本 地 用 户 和 组 ”对 话 框 。 


提示 : 默认 情况 下 ， 普 通用 户 账户 禁止 通过 这 种 方式 更 改 自己 的 密码 ， 操 作 时 会 提示 如 图 5-11 所 示 的 对 
话 框 。 通 过 修改 本 地 组 策略 设置 ， 可 以 取消 这 种 限制 ， 不 过 为 确保 系统 安全 ， 建 议 不 要 更 改 。 


@ 为 二 户 het 设 轩 8j， 出 岗 了 ET 和 
4 和 


en 


| 


图 5-10 “本 地 用 户 和 组 ”对 话 框 图 5-11 拒绝 访问 

(2] 普通 账户 重 设 自己 密码 

@ 登录 想 要 更 改 密码 的 用 户 账户 ， 按 Ctrl+Alt+Del 组 合 键 打 开 如 图 5-12 所 示 的 窗口 ， 该 窗口 类 似 于 
Windows Server 2003 系统 的 “Windows 安全 ”窗口 。 

四 单 击 “ 更 改 密码 ”按钮 ， 打 开 如 图 5-13 所 示 的 对 话 框 ， 只 有 正确 输入 旧 密 码 后 ， 新 密码 才 可 以 生 
效 。 在 “ 旧 密 码 ” 文 本 框 中 输入 用 户 账户 的 当前 密码 ， 在 “新 密码 ”和 “确认 密码 ”文本 框 中 输 
入 新 的 密码 即 可 。 

@ 单 击 “ 确 定 ”按钮 ， 修 改 成 功 ， 显 示 如 图 5-14 所 示 的 对 话 框 。 


Ll 


提示 : Windows Server 2008 对 更 改 密码 的 要 求 非常 严格 ， 如 果 不 符合 密码 策略 中 的 任何 一 项 限制 ， 都 会 
出 现 如 图 5-15 所 示 的 对 话 框 。 黑 认 情 况 下 密码 策略 要 求 如 下 : 

里 密码 必须 符合 复杂 性 要 求 。 

密码 长 度 至 少 为 7 个 字符 。 

密码 最 短 使 用 时 间 为 1 天 。 

密码 最 常 使 用 期 限 为 42 天 。 

不 得 使 用 历史 密码 ， 默 认 记录 24 个 历史 密码 。 


E17SY 


| » 安全 内 幕 


图 5-12 Windows 安全 窗口 


图 5-13 更 改 密码 


Ws Server 2008 


图 5-14 修改 密码 成 功 


@ 单 击 “ 确 定 ”按钮 ， 返 回 Windows 资源 管理 器 。 


(3] 创建 密码 重 置 盘 


图 5-15 新 密码 不 符合 要 求 


“创建 密码 重 置 盘 ”是 确保 账户 密码 安全 的 重要 手段 ， 创 建 过 程 中 会 将 用 户 账户 和 密码 信息 ， 以 加 密 


的 方式 存储 到 指定 的 软盘 或 U0 盘 上 。 忘 记 登录 密码 时 ， 使 用 这 些 信 


现 登录 系统 的 目的 。 


息 可 以 重新 创建 一 个 新 的 安全 密码 ， 实 


@ 在 “更 改 密码 ”窗口 中 ， 单 击 “ 创 建 密码 重 置 盘 ” 链 接 ， 启 动 “ 忘 记 密 码 向 导 ”， 显 示 如 图 5-16 


所 示 的 “忘记 密码 向 导 ” 对 话 框 。 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 5-17 所 示 的 “创建 密码 重 置 盘 ” 界 面 ， 在 “我 想 在 下 面 的 驱动 器 
中 创建 一 个 密码 密 钥 盘 ”的 下 拉 列 表 框 中 选择 目标 盘 ， 软 盘 或 可 移动 磁盘 都 可 以 作为 目标 盘 ， 用 


户 可 以 根据 自己 的 实际 情况 选择 。 
欢迎 使 用 忘记 窜 码 向 导 


着 RE 


加 .Ra a 


要 推拉 请 音 古 “下 一 步 "。 


本 了 有 


EEEEEB a 
创建 宣 到 生 天 盆 
褒 本 村 ;此 用 户 帐 9 计 玛 信息 保 在 到 下 盏 的 虹 示 器 中 的 吉明 上 ， 


-sanIEam 引 wa | 


5-16 “忘记 密码 向 导 ” 对 话 框 
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图 5-17 “创建 密码 重 置 盘 ” 界 面 
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图 单 击 “ 下 一 步 ” 按钮， 显示 如 图 5-18 所 示 的 “当前 用 户 账户 密码 ”界面 。 当 前 用 户 账户 密码 为 空 ， 
所 以 这 里 无 需 输入 任何 信息 。 如 果 为 已 经 设置 密码 的 用 户 账户 创建 密码 重 置 盘 ， 则 需要 输入 当前 
使 用 的 密码 。 

图 单 击 “ 下 一 步 ” 按 钮 ， 开 始 创建 。 完 成 后 继续 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 5-19 所 示 的 “正在 
完成 忘记 密码 向 导 ” 界 面 。 任 何人 都 可 以 通过 密码 重 置 盘 ， 重 新 设置 当前 用 户 账户 的 密码 ， 因 此 
应 做 好 标记 ， 并 妥善 保管 。 


正在 完成 忘记 密码 向 导 


和 


1 + 并 且 将 它 悍 存在 安全 有 


图 5-18 “当前 用 户 账户 密码 ”界面 图 5-19 “正在 完成 忘记 密码 向 导 ” 界 面 


回 单 击 “ 完 成 ”按钮 ， 退 出 向 导 并 返回 登录 界面 。 

如 果 忘 记 此 用 户 账户 的 密码 ， 可 以 在 登录 界面 中 选择 用 户 账户 后 ， 单 击 “ 重 设 密码 ”链接 启动 “ 重 置 
密码 向 导 ”， 根 据 提示 信息 插入 密码 重 置 盘 ， 当 运行 至 如 图 5-20 所 示 的 “ 重 署 用 户 账户 密码 ”步骤 时 ， 重 
新 设置 新 的 密码 即 可 ， 此 时 还 可 以 设置 一 个 密码 提示 信息 。 

2. 设置 域 用 户 账户 密码 

在 域 环境 中 重 设 账户 密码 比较 简单 。 使 用 具有 相关 权限 的 管理 员 账 户 登录 到 域 控制 器 ， 打 开 “Active 
Directory 用 户 和 计算 机 ”窗口 。 在 Users 容器 中 ， 右 击 想 要 重 置 密码 的 用 户 账户 ， 选 择 快捷 菜单 中 的 “ 重 
置 密码 ”命令 ， 显 示 如 图 5-21 所 示 的 “ 重 置 密码 ”对 话 框 ， 在 “新 密码 ”和 “确认 密码 ”文本 框 中 输入 新 
密 个， 单 击 “确定 ”按钮 即 可 。 使 用 这 种 方法 ， 也 可 以 重 设 管理 员 账 户 的 密码 。 


图 5-20 “ 重 置 用 户 账户 密码 ”界面 图 5-21 “ 重 置 密码 ”对 话 框 
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提示 : 如 果 当 前 账户 已 被 锁定 ， 则 可 以 选中 “解锁 用 户 的 账户 ” 复 选 框 ， 使 密码 更 改 立 即 生效 。 系 统 默 
认 配 置 的 安全 策略 可 能 会 限制 用 户 更 改 密码 的 次 数 或 登录 次 数 限制 ， 如 果 超 出 策略 限制 ， 则 立即 锁定 账 
户 ， 并 等 待 一 定时 间 后 自动 解锁 。 此 时 ， 对 应 用 户 可 以 告知 管理 员 ， 由 管理 员 登 录 到 域 控制 器 ， 使 用 此 
方式 为 其 重 设 密码 并 解锁 账户 。 


5.1.3 ”启用 、 禁 用、 删除 用 户 


账户 和 用 户 是 相互 对 应 的 。 如 果 新 用 户 加 入 ， 需 要 创建 新 的 账户 ;， 如果 有 些 账 户 临时 不 用 ， 则 可 以 暂 
时 将 其 禁用 ， 以 免 被 其 他 用 户 滥用 ;如 果 用 户 完全 脱 高 计算 机 或 域 ， 则 可 以 删除 对 应 账户 。 每 个 用 户 账户 
都 可 能 对 系统 安全 造成 威胁 ， 通 常情 况 下 只 保留 够 用 的 账户 即 可 。 

1. 禁用 、 启 用 和 删除 本 地 用 户 账户 

以 具有 管理 员 权 限 的 账户 登录 系统 ， 打 开 “ 计 算 机 管理 ”的 “用 户 ”窗口 ， 双 击 需 要 禁用 的 用 户 账户 ， 
打开 用 户 账户 的 属性 对 话 框 ， 在 “常规 ”选项 卡 中 ,选中 “账户 已 禁用 ” 复 选 框 ， 如 图 5-22 所 示 。 单 击 “ 确 
定 ” 按 钮 即 可 禁用 该 账户 。 取 消 选 中 “账户 已 禁用 ” 复 选 框 ， 即 可 重新 启用 已 禁用 的 账户 。 


提示 : 除非 有 特殊 应 用 ，Guest 账户 应 当 被 禁用 。 事 实 上 ， 许 多 网 络 攻击 就 是 借助 Guest 用 户 来 实现 的 。 
即使 启用 Guest 账户 ， 也 应 当 为 其 指定 最 低 的 访问 权限 。 


在 “计算 机 管理 ”窗口 中 ， 右 击 需要 删除 的 账户 ， 选 择 “ 删 除 ” 命 令 ， 显 示 如 图 5-23 所 示 的 “本 地 用 
户 和 组 ”对 话 框 ， 单 击 “ 是 ”按钮 ， 即 可 删除 所 选 账户 。 
Ee x| 
MY a ET a hs 


条 


万 届 亲 证 朵 


本 地 用 户 机 址 加 


a 


请 主要 出 车 户 41 097 


a 


5-22 ”禁用 本 地 用 户 账户 5-23 “本 地 用 户 和 组 ”对 话 框 


2. 禁用 、 启 用 和 删除 域 用 户 账户 

以 具有 管理 员 权限 的 账户 登录 域 控制 器 ， 打 开 “Active Directory 用 户 和 计算 机 ”窗口 ， 右 击 想 要 禁用 
的 用 户 账户 ， 选 择 快捷 菜单 中 的 “禁用 账户 ”命令 即 可 将 其 禁用 ， 如 图 5-24 所 示 。 

用 户 账户 被 禁用 以 后 ， 便 不 能 再 登录 。 如 果 想 启用 用 户 账户 ， 则 可 以 按照 相同 的 方法 ， 选 择 快捷 菜单 
中 的 “启用 账户 ”命令 即 可 。 如 果 账 户 不 再 使 用 ， 或 需要 重 设 所 有 权限 ， 可 将 其 删除 ， 右 击 用 户 账户 名 ， 
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并 选择 快捷 菜单 中 的 “删除 ”命令 即 可 删除 该 账户 。 


图 5-24 禁用 域 用 户 账户 


5.1.4 ”限制 用 户 可 以 登录 的 时 间 


默认 情况 下 ， 域 用 户 账户 可 以 随时 登录 到 域 控制 器 ， 但 是 为 了 确保 服务 器 系统 以 及 网 络 的 安全 ， 应 对 
用 户 账户 的 登录 时 间 进 行 限制 。 该 限制 仅 适用 于 域 用 户 账户 ， 本 地 用 户 账户 登录 系统 时 间 无 法 限制 。 
四 在 “Active Directory 用 户 和 计算 机 ”窗口 中 , 双击 要 设置 的 用 户 , 打开 用 户 属性 对 话 框 , 如 图 5-25 
所 示 。 
加 单 击 “ 登 录 时 间 ” 按 钮 ， 显 示 如 图 5-26 所 示 的 “liuxiaohui 的 登录 时 间 ” 对 话 框 ， 默 认 允 许 在 任 
何 时 间 登 录 。 


2 CJ 
ET 
| 


Ie 
lITe 


图 5-25 “liuxiaohui 属性 ”对 话 框 图 5-26 “liuxiaohui 的 登录 时 间 ” 对 话 框 


图 在 登录 时 间 分 布 表 中 ， 框 选 拒绝 登录 的 时 间 范 围 ， 选 择 “ 拒 绝 登录 ” 单 选 按钮 ， 如 图 5-27 所 示 。 例 
如 ， 本 例 中 设置 的 是 liuxiaohui 账户 ， 允 许 其 在 每 周 星 期 一 到 星期 五 的 9 点 至 17 点 登录 域 控制 器 。 
@ 单 击 “ 确 定 ”按钮 保存 设置 。 


L1791 


四 ED 


图 5-27 设置 登录 时 间 


5.1.5 ”限制 用 户 可 以 登录 的 工作 站 


限制 用 户 登录 到 的 工作 站 是 指 限制 用 户 账户 只 能 从 网 络 中 指定 的 


计算 机 上 登录 ， 访问 Active Directory 中 的 资源 。 默 认 情 况 下 ， 域 用 户 


账户 可 以 从 网 络 中 任意 计算 机 上 登录 , 通过 将 用 户 账 户 和 登录 计算 机 捆 
绑 在 一 起 ， 可 以 实施 更 加 有 效 的 安全 管理 措施 。 
中 仍然 以 liuxiaohui 账户 为 例 ， 在 “liuxiaohui 属性 ”对 话 框 的 
“账户 ”选项 卡 中 ， 单 击 “ 登 录 到 ”按钮 ， 显 示 如 图 5-28 所 
示 的 “登录 工作 站 ”对 话 框 。 默认 选中 “所 有 计算 机 ” 单 选 按 
钮 ， 即 允许 用 户 登 录 网 络 中 的 所 有 计算 机 。 
@ 选择 “下 列 计算 机 ” 单 选 按钮 ， 在 “计算 机 名 称 ” 文 本 框 中 输 
入 允许 登录 的 工作 站 的 NetBIOS 名 称 ， 单 击 “ 添 加 ”按钮 添加 
到 列表 中 ， 可 以 添加 多 个 允许 登录 的 工作 站 名 称 。 图 5-28 “登录 工作 站 ”对 话 框 
@ 单 击 “ 确 定 ” 按 钮 保存 设置 。 


5.1.6 ”恢复 误 删 除 的 域 用 户 


在 Windows Server 2008 的 “Active Directory 用 户 和 计算 机 ”管理 控制 台中 ， 没 有 提供 对 误 删 除 的 用 
户 恢 复 的 功能 。 管 理 员 可 以 借助 Adrestore.exe 工具 ， 在 命令 行 模式 下 恢复 误 删除 的 用 户 ， 该 工具 支持 
Windows 2000 Server/ Windows Server 2003/ Windows Server 2008 系统 中 的 活动 目录 。 本 例 以 恢复 被 删 
除 的 “Testuser” 用 户 为 例 ， 介 绍 用 Adrestore.exe 工具 恢复 用 户 的 方法 。 
Q@ 将 该 工具 复制 到 运行 AD DS 域 服务 的 计算 机 中 ， 选 择 “ 开 始 ” 一 “所 有 程序 ”一 “附件 ”一 “ 命 
令 提 示 符 ”命令 ， 显 示 如 图 5-29 所 示 的 命令 提示 符 窗口 ， 并 切换 到 存储 Adrestore.exe 工具 的 文 
件 夹 中 。 
@ 在 命令 行 提示 符 下 ， 输 入 如 下 命令 : 
Adrestore /r 
按 Enter 键 ， 命 令 成 功 执行 ， 显 示 如 图 5-30 所 示 的 窗口 ， 该 命令 枚 举 活动 目录 中 删除 的 对 象 ， 并 
显示 用 户 完整 的 FQDN(Fully Qualified Domain Name， 完 全 合格 域名 ] 信 息 。 
@ 输入 “Y”， 恢 复 删 除 的 用 户 信息 ， 提 示 用 户 被 成 功 恢复 ， 如 图 5-31 所 示 。 用 同样 的 方法 可 以 恢 
复 其 他 被 删除 的 Active Directory 对 象 。 
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mp_and_hDrestore 


图 5-29 切换 到 “Adrestore.exe” 工 具 所 在 的 目录 


444a375f3b 
er ADDET: 93hed7Hf-3548-47 513bd2.CN-De 


图 5-31 恢复 误 删除 的 用 户 


@ 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 选 择 “Active Directory 用 户 和 计算 机 ”一 book.com 
一 Users 选项 ,在 右 侧 窗 格 中 TestUser 被 成 功 恢复 ,恢复 的 用 户 状态 为 “禁用 ”, 如 图 5-32 所 示 。 
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图 5-32 被 删除 用 户 已 被 恢复 


[181 1 


四 二 


回 ”恢复 的 账户 需要 重新 设置 密码 ， 启 用 该 账户 即 可 完整 恢复 被 删除 的 用 户 账户 。 
5.2 用 户 组 的 管理 


用 户 组 是 常用 组 的 一 种 ， 尤 其 是 在 域 环境 中 ， 应 用 更 多 。 在 稍 具 规模 的 域 网 络 中 ， 就 可 能 存在 成 百 上 
千 的 用 户 账户 ， 如 果 逐 个 为 每 个 账户 设置 权限 ， 显 然 非常 麻烦 ， 而 且 容易 出 错 。 借 助 用 户 组 ， 可 以 将 希望 
赋予 相同 权限 的 用 户 账户 添加 到 同一 组 中 ， 只 需 为 该 组 设置 权限 ， 即 可 应 用 到 每 个 用 户 账户 。 为 了 减轻 管 
理 员 的 工作 负担 ， 还 可 以 在 用 户 组 中 指定 组 管理 员 ， 完 成 组 中 成 员 的 常规 管理 工作 。 


5.2.1 新 建 用 户 组 


默认 情况 下 ， 系 统 安装 完成 后 ， 已 经 自动 创建 了 一 些 默认 用 户 组 ， 需 要 注意 的 是 ， 这 些 用 户 组 往往 用 
于 实现 特殊 的 系统 管理 任务 ， 不 可 随意 更 改 其 中 的 成 员 和 属性 信息 。 在 日 常 应 用 中 ， 管 理 员 可 以 随意 创建 
用 户 组 ， 用 于 存储 指定 类 型 的 用 户 账户 。 如 果 是 在 域 环 境 中 ， 管 理 员 还 可 以 通过 设置 组 的 作用 域 ， 决 定 其 
中 成 员 在 域 中 的 应 用 领域 。 

1. 创建 本 地 用 户 组 


对 于 独立 服务 器 而 言 ， 用 户 组 的 作用 并 不 大 ， 但 为 了 实现 对 用 户 账户 的 统一 管理 ， 也 可 以 创建 所 需 的 
本 地 用 户 组 。 
@ 以 具有 管理 员 权限 的 账户 登录 系统 ， 打 开 “ 计 算 机 管理 ”控制 台 ， 依 次 选择 “本 地 用 户 和 组 ”一 
“组 ”选项 ， 在 右 侧 窗 格 中 列 出 了 所 有 的 组 ， 如 图 5-33 所 示 。 
@ 右 击 “ 组 ”并 选择 快捷 菜单 中 的 “新 建 组 ”命令 ， 显 示 如 图 5-34 所 示 的 “新 建 组 ” 对话 框 。 在 “组 
名 ”文本 框 中 答 入 新 组 的 名 称 ， 如 果 用 户 组 较 多 ， 还 可 以 输入 适当 的 描述 信息 ， 以 便 区 分 。 
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图 5-33 所 有 本 地 用 户 组 5-34 “新 建 组 ”对 话 框 


@ 单 击 “ 添 加 ”按钮 ， 显 示 如 图 5-35 所 示 的 “选择 用 户 ” 对 话 框 ， 在 “输入 对 象 名 称 来 选择 ”文本 
框 中 ， 输 入 要 添加 到 新 组 的 用 户 账户 名 ， 单 击 “ 确 定 ”按钮 添加 到 该 组 。 
图 单 击 “ 创 建 ” 按 钮 ， 新 组 创建 完成 。 如 果 不 希望 立即 添加 组 成 员 ， 也 可 以 跳 过 步骤 @@ 操 作 。 
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2. 创建 域 用 户 账户 


在 域 中 ， 只 有 拥有 管理 员 权限 ， 或 者 被 委派 了 相关 权限 的 用 户 账户 ， 才 可 以 登录 到 域 控制 器 创建 组 。 
@ 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 选 择 新 建 组 所 在 的 OU 或 容器 ， 如 图 5-36 所 示 。 


图 5-35 “选择 用 户 ” 对 话 框 图 5-36 


@ 在 窗口 空白 处 右 击 ， 选 择 快捷 菜单 中 的 “新 建 ” 一 “组 ” 
命令 , 显示 如 图 5-37 所 示 的 “新 建 对 象 - 组 ”对 话 框 。 
在 “组 名 ”文本 框 中 , 输入 需要 新 建 组 的 名 称 , 如 student; 
在 “组 名 (Windows 2000 以 前 版 本 )” 文 本 框 中 ,系统 自 
动 填写 对 应 的 组 名 ; 在 “组 作用 域 ”选项 区 域 中 选择 “全 
局 ” 单 选 按钮 ; 在 “组 类 型 ”选项 区 域 中 选择 “安全 组 ” 
单 选 按钮 。 

图 单 击 “ 确 定 ”按钮 ， 完 成 安全 用 户 组 的 创建 。 


5.2.2 ”向 组 中 添加 成 员 图 5-37 “新 建 对 象 - 组 ”对 话 框 


在 创建 本 地 用 户 组 过 程 中 ， 即 可 完成 用 户 账户 的 添加 。 而 域 用 户 组 则 需要 创建 完成 后 手动 添加 。 组 成 
员 可 以 包括 用 户 账户 、 联 系 人 、 其 他 组 或 计算 机 。 例 如 ， 可 以 将 一 台 计 算 机 加 入 某 组 ， 使 该 计算 机 有 权 访 
问 另 一 台 计 算 机 上 的 共享 资源 。 
中 ”以 具有 管理 员 权 限 的 用 户 账户 登录 到 域 控制 器 ， 打 开 如 图 5-38 所 示 的 “Active Directory 用 户 和 
计算 机 ”窗口 ， 找 到 域 管理 的 用 户 组 所 在 的 组 织 单位 或 容器 。 
@ ”双击 需要 添加 成 员 的 用 户 组 (以 coolpen 用 户 组 为 例 )， 打 开 “coolpen 属性 ”对 话 框 ， 切 换 到 如 
5-39 所 示 的 “成 员 ”选项 卡 ，“ 成 员 ”列表 框 中 用 来 显示 该 组 中 所 有 的 成 员 ， 默 认为 空 。 
图 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 ， 单 击 “ 立 即 查 找 ” 按 钮 ， 
开始 搜索 域 中 的 所 有 用 户 账户 ， 如 图 5-40 所 示 。 
图 借助 于 Chl 和 Shift 键 ， 在 列表 框 中 选择 所 有 欲 添加 至 该 组 的 用 户 ， 单 击 “ 确 定 ” 按 钮 ， 所 选择 的 
计算 机 和 用 户 账户 将 被 添加 至 该 组 ， 并 显示 在 列表 框 中 (如 图 5-41 所 示 ]。 当 然 ， 如 果 知 道 用 户 账 
户 的 准确 名 称 ， 也 可 以 直接 在 “输入 对 和 象 名 称 来 选择 ”文本 框 中 输入 账户 名 ， 用 户 之 间 用 “;” 分 
隔 开 来 。 
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图 5-38 “Active Directory 用 户 和 计算 机 ”窗口 图 5-39 “成 员 ” 选 项 卡 


图 5-40 “选择 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 图 5-41 所 选择 的 用 户 账户 
图 单 击 “ 确 定 ”按钮 , 返回 组 属性 对 话 框 , 所 有 被 选择 的 计算 机 和 用 户 账户 被 添加 至 该 组 , 如 图 5-42 
所 示 。 


单 击 “ 确 定 ” 按 钮 ， 完 成 用 户 的 添加 。 

除 通过 上 述 方式 添加 组 成 员外 ， 也 可 以 将 指定 用 户 账户 添加 到 某 个 或 几 个 组 。 在 “Active Directory 用 
户 和 计算 机 ”窗口 中 ， 右 击 要 添加 到 组 的 用 户 账户 ， 选 择 快捷 菜单 中 的 “添加 到 组 ”命令 ， 显 示 如 图 5-43 
所 示 的 “选择 组 ”对 话 框 ， 在 “输入 要 选择 的 对 象 名 称 ”文本 框 中 输入 欲 添加 到 的 组 ， 多 个 组 之 间 需 要 用 
“;” 隔 开 。 最 后 ， 单 击 “ 确 定 ”按钮 ， 所 选择 的 用 户 被 添加 到 组 中 。 
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第 5 章 用 户 账户 安全 


coolpen net/test 
coolpen net/test 


图 5-42 “coolpen 属性 ”对 话 框 图 5-43 “选择 组 ”对 话 框 


5.2.3 ”为 组 指定 管理 员 


组 管理 员 只 是 针对 域 用 户 组 而 言 的 ， 独 立 服 务 器 不 具有 此 功能 。 在 独立 服务 器 系统 中 ， 只 有 管理 员 账 
户 可 以 管理 所 有 用 户 组 ， 如 更 新 成 员 列表 、 更 改 账户 权限 等 。 而 在 域 中 ， 可 以 为 组 指定 特定 的 管理 者 ， 使 
其 可 以 完成 组 中 成 员 的 某 些 工作 ， 如 权限 委派 等 。 需 要 注意 的 是 ， 默 认 情 况 下 ， 指 定 组 管理 员 后 ， 其 他 任 
何 用 户 甚至 管理 员 都 将 无 法 管理 该 组 。 
四 打开 “Active Directory 用 户 和 计算 机 ”控制 台 ， 选 择 要 指定 管理 员 的 组 ， 如 coolpen， 右 击 并 选 
择 快捷 菜单 中 的 “属性 ” 命令， 显示“coolpen 属性 ”对 话 框 , 切换 到 如 图 5-44 所 示 的 “管理 者 ” 
选项 卡 。 
@ 单 击 “ 更 改 ” 按 钮 ， 显 示 如 图 5-45 所 示 的 “选择 用 户 、 联 系 人 或 组 ”对 话 框 。 在 “输入 要 选择 的 
对 象 名 称 ” 文 本 框 中 ， 输 入 要 指派 的 管理 者 的 用 户 名 或 组 名 。 需 要 注意 的 是 ， 这 里 只 能 选择 一 个 
管理 者 。 


图 5-44 “管理 者 ”选项 卡 图 5-45 “选择 用 户 、 联 系 人 或 组 ”对 话 框 
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和 ED 


@ 单 击 “ 确 定 ”按钮 返回 “管理 者 ”选项 卡 ， 在 “姓名 ” 


@ 单 击 “ 确 定 ”按钮 ， 完 成 组 的 管理 者 的 指派 。 


文本 框 中 ， 显 示 了 所 添加 的 管理 者 用 户 名 称 ， 如 图 5-46 
所 示 。 如 果 要 清除 管理 者 用 户 账 户 ， 单 击 “ 清 除 ” 按 钮 
即 可 。 

默认 情况 下 ，“ 管 理 员 可 以 更 新 成 员 列表 ” 复 选 框 没有 
被 选中 ， 表 示 只 有 被 指定 的 管理 者 才能 管理 该 组 ， 即 使 
是 域 管 理 员 也 无 此 权限 。 如 果 选 中 该 复 选 框 ， 则 允许 管 
理 员 账户 更 新 组 成 员 列 表 。 


CE mw |_ gw | 


5.2.4 ”更 改组 作用 域 或 组 类 型 


1. 组 作用 域 


组 的 作用 域 决定 了 组 的 作用 范围 、 组 中 可 以 拥有 的 成 员 以 及 组 之 间 的 嵌 套 关系 。 在 Windows Server 
2008 域 模式 下 组 有 3 种 组 作用 域 : 通用 域 、 全 局 和 本 地 域 。 
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(D 


图 5-46 已 指定 管理 者 


通用 域 组 的 成 员 : 可 以 包括 域 树 或 林 中 任何 域 中 的 其 他 组 和 账户 ， 而 且 可 在 该 域 树 或 林 中 的 任何 
域 中 指派 权限 。 

全 局 组 的 成 员 : 可 以 包括 只 在 其 中 定义 该 组 的 域 中 的 其 他 组 和 账户 ， 而 且 可 在 林 中 的 任何 域 中 指 
派 权 限 。 

本 地 域 组 的 成 员 : 可 以 包括 Windows Server 2008、Windows Server 2003、Windows 2000 Server 
或 Windows NT 域 中 的 其 他 组 和 账户 ， 而 且 只 能 在 域内 指派 权限 。 


本 地 域 


具有 本 地 域 作用 域 的 组 将 帮助 定义 和 管理 对 单个 域内 资源 的 访问 。 这 些 组 可 将 以 下 组 或 账户 作为 其 
成 员 : 


具有 全 局 作用 域 的 组 。 

具有 通用 作用 域 的 组 。 
账户 。 

具有 本 地 域 作用 域 的 其 他 组 。 
上 面 任意 组 的 组 合 。 


(2) 全 局 

所 谓 “ 全 局 ”就 是 指 整个 域 ， 此 类 组 属于 某 个 指定 域 ， 但 作用 域 却 是 整个 森林 。 全 局 组 的 成 员 只 能 是 
在 本 地 的 域 中 可 以 访问 在 森林 任何 域 里 的 资源 。 全 局 组 只 能 放置 在 同一 个 域 中 的 资源 对 象 安全 描述 符 中 ， 
即 不 能 只 是 基于 另 一 个 域 的 全 局 组 用 户 成 员 身份 ， 而 限制 对 相应 对 象 的 访问 。 在 用 户 登 录 到 一 个 域 时 ， 用 
户 的 全 局 组 成 员 身份 将 被 评估 。 因 为 全 局 组 成 员 身 份 是 以 域 为 中 心 的 ， 所 以 全 局 组 成 员 身份 的 更 改 不 会 强 
行 复制 到 整个 企业 范围 的 全 局 编 录 。 在 “本 机 模式 ” 域 中 ， 全 局 组 可 相互 嵌 套 。 

管理 员 只 能 在 创建 该 全 局 组 的 域 上 进行 添加 用 户 账户 和 全 局 组 ， 而 且 全 局 组 可 以 嵌 套 在 其 他 组 中 。 可 
以 将 某 个 全 局 组 添加 到 同一 个 域 上 的 另 一 个 全 局 组 中 , 或 添加 到 其 他 信任 域 的 通用 组 和 域 本 地 组 中 (不 能 加 
入 到 不 同 域 的 全 局 组 中 ,全 局 组 只 能 在 创建 它 的 域 中 添加 用 户 和 组 )。 虽 然 可 以 利用 全 局 组 授予 访问 任何 域 
上 的 资源 的 权限 ， 但 一 般 不 直接 用 它 进 行 权 限 管理 。 


(3] 通用 域 


使 用 具有 通用 作用 域 的 组 可 以 合并 跨越 不 同 域 的 组 ， 所 以 ， 将 账户 添加 到 具有 全 局 作用 域 的 组 ， 并 且 
将 这 些 组 嵌 套 在 具有 通用 作用 域 的 组 内 。 使 用 该 策略 ， 对 具有 全 局 作用 域 的 组 中 的 任何 成 员 身份 的 更 改 都 


不 影响 具有 通用 作用 域 的 组 。 


具有 通用 


用 域 的 组 成 员 身 份 不 应 频繁 更 改 ， 因 为 对 这 些 组 成 员 身份 的 任何 更 改 都 将 引起 整个 组 的 成 


员 身 份 复制 到 树林 中 的 每 个 全 局 编 隶 中。 有关 通 用 组 和 复制 的 详细 信息 ， 请 参阅 全 局 编 录 和 复制 。 


(多 更 改组 作用 域 


在 默认 情况 下 , 新 建 组 将 被 配置 为 具有 全 局 作用 域 的 安全 组 , 而 与 当前 域 的 功能 级 别 无 关 。 在 Windows 
Server 2008 系统 的 域 中 ， 人 允许 对 组 作用 域 进行 如 下 转换 : 
里“ 全 局 到 通用 。 只 有 当 要 更 改 的 组 不 是 另 一 个 全 局 作用 域 组 的 成 员 时 ， 人 允许 进行 该 转换 。 


通用 到 全 局 。 


(5] 不 同 作用 域 功能 对 比 


本 地 域 到 通用 。 只 有 当 要 更 改 的 组 没有 另 一 个 本 地 域 组 作为 其 成 员 时 ， 人 允许 进行 该 转换 。 
只 有 当 要 更 改 的 组 没有 另 一 个 通用 组 作为 其 成 员 时 ， 人 允许 进行 该 转换 。 
通用 到 本 地 域 。 该 操作 没有 限制 。 


Windows Server 2008 系统 支持 的 3 种 组 作用 域 类 型 的 功能 区 别 如 表 5-1 所 示 。 


当 域 功能 级 别 被 设置 为 Windows 2000 
本 机 或 Windows Server 2003 时 , 本 地 
域 组 的 成 员 可 包括 来 自任 何 域 的 账户 、 
全 局 组 或 通用 组 , 以 及 来 自 相 同 域 的 本 
地 域 组 

当 域 功能 级 别 被 设置 为 Windows 2000 
本 机 或 Windows Server 2003 时 , 本 地 
域 组 的 成 员 可 包括 来 自任 何 域 的 账户 
或 全 局 组 


组 可 被 添加 到 其 他 本 地 域 组 并 且 仅 在 
相同 域 中 指派 权限 


只 要 组 不 把 具有 本 地 域 作用 域 的 其 他 
组 作为 其 成 员 , 就 可 转换 为 通用 作用 域 


2. 组 类 型 


表 5-1 不 同 组 作用 域 之 间 的 区 别 


当 域 功能 级 别 被 设置 为 Windows 
2000 本 机 或 Windows Server 2003 
时 ,全 局 组 的 成 员 可 包括 来 自 相同 域 
的 账户 或 全 局 组 


当 域 功能 级 别 被 设置 为 Windows 


2000 混合 时 ， 全 局 组 的 成 员 可 包括 
来 自 相 同 域 的 账户 


组 可 被 添加 到 其 他 组 并 且 在 任何 域 
中 指派 权限 


只 要 组 不 是 具有 全 局 作用 域 的 任何 
其 他 组 的 成 员 ， 就 可 以 转换 为 通用 作 
用 域 


当 域 功能 级 别 被 设置 为 Windows 2000 
本 机 或 Windows Server 2003 时 ， 通 用 
组 的 成 员 可 包括 来 自任 何 域 的 账户 、 全 
局 组 和 通用 组 


当 域 功能 级 别 被 设置 为 Windows 2000 
混合 时 ， 不 能 创建 具有 通用 组 的 安全 组 


当 域 功能 级 别 被 设置 为 Windows 2000 
本 机 或 Windows Server 2003 时 ， 组 可 
被 添加 到 其 他 组 并 在 任何 域 中 指派 权限 
组 可 转换 为 本 地 域 作 用 域 。 只 要 组 中 没 
有 其 他 通用 组 作为 其 成 员 ， 就 可 以 转换 
为 全 局 作用 域 


在 Active Directory 中 有 两 种 类 型 的 组 : 通讯 组 和 安全 组 。 使 用 通讯 组 可 以 创建 电子 邮件 通讯 组 列表 ， 
使 用 安全 组 则 可 给 共享 资源 指派 权限 。 组 有 以 下 特点 : 
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”对 组 设置 的 权限 将 自动 应 用 在 组 中 的 所 有 对 象 上 ， 可 以 大 大 简化 管理 员 的 工作 。 
和 ”组 可 以 位 于 Active Directory 中 ， 也 可 以 位 于 本 地 的 独立 计算 机 中 。 
”组 属性 由 作用 域 和 类 型 决定 。 
”可 以 柑 套 ， 即 可 以 将 一 个 组 添加 到 另 一 个 组 中 。 
(D 通讯 组 
在 电子 邮件 应 用 程序 中 ， 管 理 员 可 以 使 用 “通讯 组 ”将 电子 邮件 同时 发 送 给 一 组 用 户 。 通 讯 组 不 使 用 
Windows Server 的 安全 机 制 ， 但 是 可 以 在 “对 象 访问 控制 列表 (ACL)” 中 出 现 。 如 果 需 要 使 用 组 来 控制 对 
共享 资源 的 访问 ， 则 需要 使 用 安全 组 。 
(2] 安全 组 
安全 组 提供 了 一 种 有 效 的 方式 来 指派 对 网 络 上 资源 的 访问 权 。 与 通讯 组 不 同 ， 安 全 组 可 以 使 用 
Windows Server 的 安全 机 制 ， 并 且 可 以 根据 需要 添加 到 随机 访问 控制 列表 (ACL) 中 。 使 用 安全 组 ， 可 以 带 
来 以 下 功能 方面 的 安全 性 。 
里 “将 用 户 权利 指派 到 Active Directory 中 的 安全 组 
管理 员 可 以 对 安全 组 指派 用 户 权 利 ， 以 确定 该 组 的 哪些 成 员 可 在 域 (或 林 ) 作 用 域内 工作 。 在 安装 
Active Directory 时 ， 系 统 会 自动 将 用 户 权利 指派 给 某 些 安全 组 ， 以 帮助 管理 员 定义 域 中 人 员 的 管 
理 角色 。 例 如 ， 在 Active Directory 中 ， 被 添加 到 Backup Operators 组 的 用 户 能 够 备份 和 还 原 域 
中 每 个 域 控制 器 上 的 文件 和 文件 夹 。 因 为 在 默认 情况 下 ， 系 统 已 经 将 备份 和 还 原 目录 的 用 户 权 利 
自动 指派 给 Backup Operators 组 ， 组 中 的 用 户 继承 该 组 的 用 户 权 利 设 置 。 
可 以 使 用 组 策略 将 用 户 权利 指派 给 安全 组 ， 以 帮助 委派 特定 任务 。 在 指派 委派 的 任务 时 始终 应 谨 
慎 操 作 ， 应 避免 为 非 必 要 用 户 指派 过 高 的 权利 ， 以 免 产 生 安全 隐患 。 
时 “给 安全 组 指派 对 资源 的 权限 
用 户 权 利和 权限 不 应 混淆 。 对 共享 资源 的 权限 将 指派 给 安全 组 。 权 限 决 定 了 哪些 用 户 可 以 访问 该 
资源 以 及 访问 的 级 别 ， 例 如 ， 是 读 取 还 是 完全 控制 。 系 统 将 自动 指派 域 对 象 的 某 些 权限 ， 以 允许 
对 默认 安全 组 (例如 Account Operators 组 或 Domain Admins 组 ) 进 行 多 级 别 的 访问 。 
在 定义 对 资源 和 对 象 的 权限 的 ACL 中 列 出 了 安全 组 。 为 资源 指派 权限 时 ， 管 理 员 应 将 那些 权限 指 
派 给 安全 组 而 非 单个 用 户 。 权 限 可 以 直接 指派 到 组 ， 而 不 是 逐个 指派 给 组 中 单独 的 用 户 。 添 加 到 
组 的 每 个 账户 ， 都 将 接受 在 Active Directory 中 指派 给 该 组 的 权利 ， 以 及 在 资源 上 为 该 组 定义 的 
权限 。 
(3) 安全 组 和 通讯 组 之 间 的 转换 
域 功能 级 别 设置 为 Windows 2000 本 机 、Windows Server 2003 或 Windows Server 2008 模式 时 ， 管 
理 员 可 以 将 安全 组 转换 为 通讯 组 ， 反 之 亦 然 。 当 域 功能 级 别 被 设置 为 Windows 2000 混合 模式 时 ， 不 可 以 
转换 组 。 
3. 更 改组 作用 域 或 类 型 
组 作用 域 直接 决定 组 中 账户 的 应 用 范围 ， 而 组 类 型 则 决定 用 户 账户 可 以 行使 的 功能 。 应 用 过 程 中 ， 管 
理 员 可 以 根据 需要 ， 更 改 域 用 户 组 的 作用 域 和 类 型 。 需 要 注意 的 是 ， 如 果 域 功能 级 别 为 Windows 2000 混 
合 模式 ， 则 无 法 完成 此 过 程 。Windows Server 2008 系统 的 默认 域 功能 级 别 为 Windows 2000 纯 模 式 ， 并 
且 己 经 删除 了 混合 模式 ， 所 以 可 以 直接 更 改 。 
打开 “Active Directory 用 户 和 计算 机 ”控制 台 ， 双 击 欲 更 改 的 用 户 组 (以 coolpen 组 为 例 )， 显 示 如 
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图 5-47 所 示 的 “coolpen 属性 ”对 话 框 , 在 “常规 ”选项 卡 的 “组 。 pep 
作用 域 ”和 “组 类 型 ”选项 区 域 ， 重 新 选择 指定 的 选项 即 可 。 mn en 131 


5.2.5 ”删除 组 


在 “Active Directory 用 户 和 计算 机 ”窗口 中 ， 右 击 要 删除 的 
组 并 选择 快捷 菜单 中 的 “删除 ”命令 ， 即 可 删除 该 组 。 需 要 注意 
的 是 ， 随 着 用 户 组 的 删除 ， 通 过 该 组 所 赋予 成 员 账户 的 权限 也 会 
被 删除 ， 但 组 内 的 成 员 不 会 被 删除 。 


9 日 全 .如 
5.2.6 吹 认 组 介绍 图 5-47 “coolpen 属性 ”对 话 框 


安装 Windows Server 2008 和 Active Directory 域 时 已 经 自动 创建 了 一 些 用 户 组 , 可 以 帮助 管理 员 控制 
网 络 用 户 对 共享 资源 的 访问 ， 并 委派 特定 的 域 范围 的 管理 角色 。 当 将 用 户 添 加 到 组 中 时 ， 用 户 将 接受 指派 
给 该 组 的 所 有 用 户 权利 ， 以 及 指派 给 该 组 的 有 关 任 何 共 享 资源 的 所 有 权限 。 

1. 默认 本 地 组 权利 概述 

Windows Server 2008 安装 完成 后 ， 自 动 创建 默认 的 本 地 用 户 组 及 描述 如 表 5-2 所 示 。 


表 5-2 内置 本 地 组 及 描述 


账 户 描 述 
该 组 的 成 员 具 有 对 服务 器 的 完全 控制 权限 ， 并 且 可 以 根据 需要 向 用 户 指派 用 户 权利 和 权限 。 
Administrators 管理 员 账户 也 是 默认 成 员 。 当 该 服务 器 加 入 域 中 时 ,组 会 自动 添加 到 该 组 中 。 由 于 该 组 可 以 


完全 控制 服务 器 ， 所 以 向 该 组 添加 用 户 时 请 谨慎 
该 组 的 成 员 可 以 备份 和 还 原 服务 器 上 的 文件 , 而 不 管 保 护 这 些 文件 的 权限 如 何 。 这 是 因为 执 
行 备份 任务 的 权利 要 高 于 所 有 文件 权限 。 他 们 不 能 更 改 安全 设置 


Backup Operators 


Certifieate Service DCOM | 允许 该 组 的 成 员 连接 到 企业 中 的 证 书 颁 发 机 构 
Access 
Cryptographic Operators _| 授权 成 员 执行 加 密 操作 
Distributed COM Users 成 员 允 许 启动 、 激 活 和 使 用 此 计算 机 上 的 分 布 式 COM 对 象 


Event Log Readers 此 组 的 成 员 可 以 从 本 地 计算 机 中 读 取 事件 日 志 
网 该 组 的 成 员 拥 有 一 个 在 登录 时 创建 的 临时 配置 文件 ,在 注销 时 ,该 配置 文件 将 被 删除 。 来宾 
uests 


账户 (默认 情况 下 已 禁用 ) 也 是 该 组 的 默认 成 员 
该 组 允许 管理 员 将 对 所 有 支持 应 用 程序 的 权利 设置 成 公用 的 。 默认 情况 下 , 该 组 的 唯一 成 员 
是 与 Microsoft 支持 应 用 程序 相关 的 账户 ， 例 如 远程 协助 。 不 要 在 该 组 中 添加 用 户 


HelpServicesGroup 


Network Configuration 


该 组 的 成 员 可 以 更 改 TCP/IP 设置 并 更 新 和 发 布 TCP/IP 地 址 。 该 组 中 没有 默认 的 成 员 


Operators 
Performance Monitor | 该 组 的 成 员 可 以 从 本 地 服务 器 和 远程 客户 端 监视 性 能 计数 器 ， 而 不 用 成 为 Administrators 
Users 或 Performance Log Users 组 的 成 员 
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续 表 
账 户 描 述 
该 组 的 成 员 可 以 从 本 地 服务 器 和 远程 客户 端 ， 管 理性 能 计数 器 、 日 志和 警报 ， 而 不 用 成 为 
Administrators 组 的 成 员 
该 组 的 成 员 可 以 创建 用 户 账户 , 然后 修改 并 删除 所 创建 的 账户 。 他 们 可 以 创建 本 地 组 , 然后 
在 他 们 已 创建 的 本 地 组 中 添加 或 删除 用 户 。 还 可 以 在 Power Users 组 、Users 组 和 Guests 
组 中 添加 或 删除 用 户 。 成 员 可 以 创建 共享 资源 并 管理 所 创建 的 共享 资源 。 他 们 不 能 取得 文件 
的 所 有 权 、 备 份 或 还 原 目录 、 加 载 或 印 载 设备 驱动 程序 ， 或 者 管理 安全 性 以 及 日 志 
Print Operators 该 组 的 成 员 可 以 管理 打印 机 
Remote Desktop Users 该 组 的 成 员 可 以 远程 登录 服务 器 
Replicator 组 支持 复制 功能 。Replicator 组 的 唯一 成 员 应 该 是 域 用 户 账户 ， 用 于 登录 域 控制 
器 的 “复制 程序 ”服务 。 不 能 将 实际 用 户 的 用 户 账户 添加 到 该 组 中 
该 组 的 成 员 可 以 执行 一 些 常见 任务 , 例如 运行 应 用 程序 、 使 用 本 地 和 网 络 打印 机 以 及 锁定 服 
务 器 。 用 户 不 能 共享 目录 或 创建 本 地 打印 机 。 默 认 情况 下 ，Domain Users、Authenticated 
Users 以 及 Interactive 组 是 该 组 的 成 员 。 因 此 ,在 域 中 创建 的 任何 用 户 账户 都 将 成 为 该 组 的 
成 员 
TelnetClients, 该 组 的 成 员 可 以 访问 此 系统 上 的 Telnet 服务 器 


2. 默认 域 用 户 组 权利 概述 

默认 域 用 户 组 位 于 活动 目录 的 “Builtin” 容 器 和 “Users” 容 器 中 。 管 理 员 可 以 根据 需要 ， 将 这 些 容器 
中 的 组 移动 到 域 中 的 其 他 组 或 组 织 单位 ， 但 不 能 将 组 移动 到 其 他 域 。 

(CD Builtin 容器 中 的 组 

Builtin 容器 包含 使 用 本 地 域 作用 域 定义 的 默认 组 。 如 表 5-3 所 示 为 Builtin 容器 中 的 默认 组 及 相关 描述 。 


Performance Log Users 


Power Users 


Replicator 


Users 


表 5-3 ”Builtin 容器 中 的 默认 组 


组 描 述 
该 组 的 成 员 可 以 创建 、 修 改 和 删除 位 于 Users 或 Computers 容器 中 的 用 户 、 组 和 计算 机 的 账 
Account Operators 户 以 及 该 域 中 的 组 织 单位 ， 但 Domain Controllers 组 织 单位 除外 。 该 组 的 成 员 无 权 修改 


Administrators 或 Domain Admins 组 ， 也 无 权 修改 这 些 组 的 成 员 的 账户 

该 组 的 成 员 具 有 对 域 中 所 有 域 控制 器 的 完全 控制 。 默认 情况 下 , Domain Admins 和 Enterprise 
Administrators Admins 组 是 Administrators 组 的 成 员 。Administrator 账户 也 是 默认 成 员 。 由 于 该 组 在 此 域 中 
具有 完全 控制 权限 ， 因 此 在 添加 用 户 时 要 特别 谨慎 

该 组 的 成 员 可 备份 和 还 原 该 域 中 域 控制 器 上 的 所 有 文件 ， 而 不 用 考虑 其 各 自 对 这 些 文件 的 权 
Backup Operators 限 。Backup Operators 还 可 以 登录 到 域 控制 器 并 将 其 关闭 。 该 组 没有 默认 的 成 员 。 由 于 该 组 
对 域 控制 器 有 重要 作用 ， 因 此 在 添加 用 户 时 要 特别 谨慎 

默认 情况 下 ，Domain Guests 组 是 该 组 的 成 员 。Guest 账户 (默认 情况 下 禁用 此 账户 ] 也 是 该 组 
的 默认 成 员 


Guests 
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续 表 
描 述 


Incoming Forest Trust 
Builders( 仅 出 现在 林 根 
域 中 


该 组 的 成 员 可 创建 对 林 根 域 的 单 向 传 入 林 信 任 。 例 如 ， 驻 留 在 A 林 中 的 该 组 成 员 能 够 创建 来 
自 B 林 的 单 向 传 入 林 信任 。 该 单 向 传 入 林 信任 允许 A 林 中 的 用 户 访问 位 于 B 林 中 的 资源 。 该 
组 的 成 员 在 林 根 域 上 会 得 到 “创建 传 入 林 信任 ”权限 。 该 组 没有 默认 的 成 员 


Network Configuration 


Operators 


该 组 的 成 员 可 更 改 TCP/IP 设置 并 续 订 和 发 布 该 域 中 域 控制 器 上 的 TCP/IP 地 址 。 该 组 没有 默 
认 的 成 员 


Performance Monitor 


Users 


该 组 的 成 员 可 在 本 地 或 从 远程 客户 端 监视 该 域 中 域 控制 器 上 的 性 能 计数 器 ， 不 必 成 为 
Administrators 或 Performance Log Users 组 的 成 员 


Performance Log Users 


该 组 的 成 员 可 在 本 地 或 从 远程 客户 端 管理 该 域 中 域 控制 器 上 的 性 能 计数 器 、 日 志和 警报 ， 不 
必 成 为 Administrators 组 的 成 员 


Pre-Windows 2000 


Compatible Access 


Print Operators 


该 组 的 成 员 具 有 对 该 域 中 所 有 用 户 和 组 的 读 取 访 问 权限 。 该 组 向 后 兼容 运行 Windows NT 4.0 
及 更 低 版 本 的 计算 机 。 默 认 情 况 下 ， 特 殊 的 Everyone 标识 是 该 组 的 成 员 。 仅 当 用 户 在 运行 
Windows NT 4.0 或 更 低 版 本 时 ， 将 其 添加 到 该 组 中 

该 组 的 成 员 可 管理 、 创 建 、 共 享 和 删除 连接 到 该 域 中 域 控制 器 上 的 打印 机 。 他 们 可 以 管理 该 
域 中 的 Active Directory 打印 机 对 象 。 该 组 的 成 员 可 本 地 登录 到 该 域 的 域 控制 器 中 ， 并 可 将 其 
关闭 。 该 组 没有 默认 的 成 员 。 由 于 该 组 的 成 员 可 在 该 域 的 所 有 域 控制 器 上 加 载 和 印 载 设 备 驱 
动 程序 ， 因 此 在 添加 用 户 时 要 特别 谨慎 


Remote Desktop Users 该 组 的 成 员 可 远程 登录 到 该 域 的 域 控制 器 。 该 组 没有 默认 的 成 员 


Replicator 


Server Operators 


Users 


该 组 支持 目录 复制 功能 ， 并 由 该 域 的 域 控制 器 上 的 “文件 复制 ”服务 使 用 。 该 组 没有 默认 的 
成 员 。 不 向 该 组 添加 用 户 

在 域 控制 器 上 ， 该 组 的 成 员 可 进行 交互 式 登 录 、 创 建 和 删除 共享 资源 、 启 动 和 停止 某 些 服务 、 
备份 和 还 原文 件 、 格 式 化 硬盘 ， 以 及 关闭 计算 机 。 该 组 没有 默认 的 成 员 。 由 于 该 组 对 域 控制 
器 有 重要 作用 ， 因 此 在 添加 用 户 时 要 特别 谨慎 

该 组 的 成 员 可 执行 大 部 分 常见 任务 ， 如 运行 应 用 程序 、 使 用 本 地 和 网 络 打 印 机 ， 以 及 锁定 服 
务 器 。 默 认 情况 下 ，Domain Users 组 、Authenticated Users 或 Interactive 都 是 该 组 的 成 员 。 
因此 ， 域 中 创建 的 任意 用 户 账户 均 为 该 组 成 员 


| 提示 : 由 于 该 容器 中 的 所 有 用 户 组 都 是 系统 默认 创建 的 ， 因 此 ， 对 于 控制 器 有 着 非常 重要 的 作用 ， 操 作 


时 应 倍加 谨慎 。 


(2] Users 容器 中 的 组 
Users 容器 则 包含 通过 全 局 作用 域 定义 的 组 和 通过 本 地 域 作 用 域 定义 的 组 。 如 表 5-4 所 示 为 Users 容器 


中 默认 组 及 相关 描述 。 


组 


表 5-4 Users 容器 中 的 组 


描 述 


Allowed RODC Password 


Replication Grou] 


允许 将 此 组 中 成 员 的 密码 复制 到 域 中 的 所 有 只 读 域 控制 器 。 该 组 没有 默认 的 成 员 
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人 


组 


续 表 
描 述 


Cert Publishers 


该 组 的 成 员 获 准 为 用 户 和 计算 机 发 行 证 书 。 该 组 没有 默认 的 成 员 


Denied RODC Password Replication 


Group 


不 允许 将 此 组 中 成 员 的 密码 复制 到 域 中 的 所 有 只 读 域 控制 器 


DnsAdmins( 随 DNS 安装 ) 


该 组 的 成 员 具 有 对 DNS Server 服务 的 管理 访问 权限 。 该 组 没有 默认 的 成 员 


DnsUpdateProxy( 随 DNS 安装 ) 


该 组 的 成 员 是 可 代表 其 他 客户 端 (如 DHCP 服务 器 ] 执 行动 态 更 新 的 DNS 客户 端 该 
组 没有 默认 的 成 员 


Domain Admins 


该 组 的 成 员 具 有 对 该 域 的 完全 控制 权 。 默 认 情况 下 ， 该 组 是 加 入 到 该 域 中 的 所 有 域 
控制 器 、 所 有 域 工作 站 和 所 有 域 成 员 服务 器 上 的 Administrators 组 的 成 员 。 默 认 情 
况 下 ,Administrator 账户 是 该 组 的 成 员 。 由 于 该 组 在 此 域 中 具有 完全 控制 权限 ， 因 
此 在 添加 用 户 时 要 特别 谨慎 


Domain Computers 


Domain Controllers 


Domain Guests 


Domain Users 


Enterprise Admins( 仅 出 现在 林 根 
域 中 ] 


Enterprise Read-only Domain 


Controllers 


Group Policy Creator Owners 


IIS_WPG( 随 IIS 安装 ) 


RAS and IAS Servers 


该 组 包含 加 入 到 此 域 的 所 有 工作 站 和 服务 器 。 默 认 情况 下 ， 创 建 的 任何 计算 机 账户 
都 会 自动 成 为 该 组 的 成 员 

该 组 包含 此 域 中 的 所 有 域 控制 器 

该 组 包含 所 有 域 来 宾 

该 组 包含 所 有 域 用 户 。 默 认 情 况 下 ， 此 域 中 创建 的 任何 用 户 账户 都 会 自动 成 为 该 组 
的 成 员 。 可 以 使 用 该 组 来 表示 此 域 中 的 所 有 用 户 。 例 如 ， 如 果 想 要 所 有 域 用 户 具有 
对 打印 机 的 访问 权限 ， 可 将 打印 机 的 访问 权限 指派 给 该 组 (或 者 将 Domain Users 组 
添加 到 打印 机 服务 器 上 某 个 具有 打印 机 访问 权限 的 本 地 组 中 ) 

该 组 的 成 员 具 有 对 林 中 所 有 域 的 完全 控制 权限 。 默 认 情况 下 ， 该 组 是 林 中 所 有 域 控 
制 器 上 Administrators 组 的 成 员 。 默 认 情况 下 ，Administrator 账户 是 该 组 的 成 员 。 
由 于 该 组 在 林 中 具有 完全 控制 权限 ， 因 此 在 添加 用 户 时 要 特别 谨慎 


无 


该 组 的 成 员 可 修改 此 域 中 的 组 策略 ,默认 情况 下 , Administrator 账户 是 该 组 的 成 员 。 
由 于 该 组 在 此 域 中 有 重要 的 作用 ， 因 此 在 添加 用 户 时 要 特别 谨慎 

IIS_WPG 组 是 Internet 信息 服务 (IIS)6.0 工作 进程 组 .在 IIS6.0 的 工作 范围 内 存在 服 
务 于 特定 命名 空间 的 工作 进程 。 例 如 ，www.microsoft.com 是 由 一 个 工作 进程 提供 
的 命名 空间 ， 可 在 添加 到 IIS_WPG 组 的 某 个 标识 (如 Microsoft Account) 下 运行 。 该 
组 没有 默认 的 成 员 

该 组 中 的 服务 器 获准 访问 用 户 的 远程 访问 属性 


Schema Admins( 仅 出 现在 林 根 
域 中 ) 


该 组 的 成 员 可 修改 Active Directory 架构 。 默 认 情 况 下 ，Administrator 账户 是 该 组 
的 成 员 。 由 于 该 组 在 林 中 有 重要 的 作用 ， 因 此 在 添加 用 户 时 要 特别 谨慎 


5.3 用户 权 限 的 安全 


使 用 用 户 账户 可 以 登录 到 域 或 其 他 计算 机 中 ， 从 而 获得 对 计算 机 网 络 资源 的 访问 权 。 经 常 访问 网 络 的 
用 户 都 应 当 拥有 网 络 唯一 的 用 户 账户 ， 并 且 根 据 用 户 的 职责 不 同 ， 分 配 不 同 的 用 户 权限 ， 同 时 ， 设 置 严格 
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的 用 户 策略 ， 保 护 用 户 账户 的 安全 。 


5.3.1 为 用 户 设置 权利 


用 户 权利 可 以 从 组 策略 中 指派 ， 也 可 以 从 独立 服务 器 上 的 “本 地 安全 策略 ”和 域 控制 器 上 的 “默认 域 
控制 器 安全 策略 ”中 指派 ， 并 且 被 设置 的 对 象 可 以 是 单个 用 户 ， 也 可 以 是 用 户 组 。 例 如 ， 要 限制 用 户 的 登 
录 失 败 的 次 数 ， 使 试图 登录 计算 机 的 非法 用 户 在 尝试 5 次 后 ， 自 动 将 账户 锁定 ， 以 确保 账户 安全 。 

四 ”依次 选择 “开始 ”一 “管理 工具 ”一 “本 地 安全 策略 ”选项 ， 打 开 “ 本 地 安全 策略 ”窗口 。 依 次 

展开 “安全 设置 ”一 “账户 策略 ”一 “账户 锁定 策略 ”选项 ， 如 图 5-48 所 示 。 

@ 双击 “账户 锁定 阔 值 ”策略 ， 显 示 如 图 5-49 所 示 的 “账户 锁定 阔 值 属性 ”对 话 框 。“ xX 次 无 效 

登录 ”微调 框 的 默认 值 为 0， 即 不 限制 登录 次 数 ， 永 远 不 会 锁定 账户 ， 在 其 中 输入 “5” 即 可 。 


图 5-48 “本 地 安全 策略 ”窗口 图 5-49 “账户 锁定 阅 值 属性 ”对 话 框 


@ 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 

这 样 ， 当 用 户 再 次 登录 时 ， 如 果 连 续 5 次 输入 密码 不 正确 ， 就 会 被 
锁定 ， 并 显示 如 图 5-50 所 示 的 “登录 消息 ”提示 框 ， 提 示 账 户 不 能 登录 。 

如 果 计 算 机 中 的 用 户 账户 比较 多 ， 建 议 将 用 户 添加 到 组 ， 并 允许 组 
内 的 用 户 继承 组 的 权利 设置 。 但 是 ， 对 于 一 些 比较 重要 的 组 ， 应 取消 权 ”” 图 5-50 “登录 消息 ”提示 框 
限 继承 设置 ， 然 后 青 根据 不 同 用 户 的 身份 ， 以 决定 是 否 允许 继承 组 的 权限 。 


提示 : 如 果 是 在 域 控制 器 上 配置 该 权限 ， 在 需要 在 “组 策略 管理 编辑 器 ”窗口 中 ， 修 改 Default Domain 
Controllers Policy 策略 中 的 相关 设置 . 
5.3.2 ”将 用 户 权利 指派 到 组 


为 避免 权限 管理 混乱 ， 应 尽量 将 用 户 权利 指派 到 组 ， 然 后 将 需要 获得 此 权限 的 用 户 添加 到 该 组 中 ， 尤 
其 是 对 于 用 户 较 多 的 域 网 络 ， 更 应 如 此 。 如 果 是 Windows Server 2008 域 网 络 ， 则 可 以 在 域 控制 器 的 “组 
策略 管理 ”工具 中 ， 编 辑 域 控制 器 的 默认 策略 Default Domain Controllers Policy 或 者 “本 地 安全 策略 ”中 
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的 相关 设置 。 如 果 是 独立 服务 器 ， 则 只 能 在 “本 地 安全 策略 ”中 完成 。 

@ 在 Windows Server 2008 域 控制 器 上 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “本 地 安全 策略 ” 选 
项 ， 打 开 “ 本 地 安全 策略 ”窗口 。 

回 ”依次 展开 “安全 设置 ”一 “本 地 策略 ”一 “用 户 权限 分 配 ” 选 项 ， 在 右 侧 窗口 中 列 出 了 可 以 分 配 
给 用 户 的 所 有 用 户 权限 ， 如 图 5-51 所 示 。 

图 双击 要 分 配给 组 的 权限 ， 打 开 属性 对 话 框 ， 添 加 要 指派 给 的 组 名 即 可 。 例 如 ， 双 击 “ 从 网 络 访问 
此 计算 机 ”策略 ， 显 示 如 图 5-52 所 示 的 “从 网 络 访问 此 计算 机 属性 ”对 话 框 。 从 列表 中 显示 具 
备 此 权利 的 用 户 或 者 组 。 


NR 


图 5-51 “本 地 安全 策略 ”窗口 图 5-52 “从 网 络 访问 此 计算 机 属性 ”对 话 框 


当 为 组 分 配 了 某 个 权限 以 后 ， 该 组 中 的 用 户 同时 也 会 拥有 该 权限 ， 而 以 后 向 该 组 中 添加 用 户 时 ， 新 用 
户 也 会 拥有 此 权限 。 

通常 情况 下 ， 可 参考 如 下 说 明 将 适当 的 权限 分 配给 相应 的 用 户 组 : 

里 “管理 员 组 (Administrators) 可 以 被 授权 的 权利 包括 更 改 系统 事件 、 创 建 页 面 文件 、 装 载 和 务 载 设备 
驱动 程序 、 在 本 地 登录 、 管 理 审核 安全 日 志 、 配 置 单 一 进程 、 配 置 系统 性 能 、 关 闭 系统 、 取 得 文 
件 或 者 对 象 的 所 有 权 。 

”备份 操作 员 组 (Backup Operators) 可 以 被 授权 的 权利 包括 备份 文件 和 目录 、 在 本 地 登录 、 还 原文 件 
和 目录 (如 果 不 想 让 备份 操作 员 组 具备 还 原文 件 和 目录 的 权利 ， 可 以 重建 一 个 新 的 用 户 组 )。 

”用 户 组 可 以 被 授权 的 权利 为 在 本 地 登录 (默认 的 )。 

里 “将 有 关 “Everyone” 组 的 权利 删除 。 尤 其 是 在 Windows 2000 系统 中 ， 默 认 情况 下 ，Everyone 组 
被 赋予 “完全 控制 ”权限 ， 毫 无 疑问 ， 对 系统 安全 而 言 ， 这 是 非常 危险 的 。 

里 “将 有 关 “PowerUsers” 组 的 权利 删除 。 

不 授予 任何 权利 ， 除 非 应 用 程序 有 特殊 的 要 求 ， 必 须 取 消 其 他 所 有 默认 状况 下 的 权利 设 定 。 


5.4 用 户 环境 安全 


用 户 工作 环境 主要 是 指 用 户 桌面 、 登 录 设置 、 网 络 连接 等 ， 这 些 基本 设置 可 以 保证 用 户 快速 投入 自己 
的 工作 。 并 且 默 认 情 况 下 ， 许 多 常用 的 用 户 信息 都 被 保存 在 以 用 户 名 命名 的 目录 下 ， 如 文档 、 图 片 、 视 频 
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等 ， 这 些 信息 不 仅 容易 被 恶意 用 户 窃取 ， 而 且 如 果 系 统 发 生 故 障 ， 也 容易 导致 数据 丢失 。 通 过 对 常用 且 重 
要 的 用 户 进行 重 定 向 ， 即 可 避免 此 类 情况 的 出 现 。 


5.4.1 重 定向 用 户 配置 文件 


在 Windows Server 2008 系统 中 ， 所 有 用 户 账户 的 配置 文件 都 被 保存 在 系统 分 区 的 “用 户 ”文件 夹 中 ， 
并 且 为 每 个 账户 单独 保存 ， 包 括 收藏 夹 、 桌 面 、 文 档 、 视 频 、 联 系 人 等 重要 信息 。 当 系统 崩溃 或 重新 安装 
操作 系统 时 ， 一 旦 忘记 备份 ， 这 些 数据 将 全 部 丢失 。 所 以 最 好 的 方法 就 是 ， 将 这 些 重要 内 容重 定向 到 其 他 
非 系 统 分 区 的 安全 目录 下 。 
@ 在 资源 管理 器 中 ， 打 开 系统 分 区 的 “用 户 ” 一 “tianjl( 用 户 账 户 名 ] ”文件 夹 ， 显 示 如 图 5-53 所 示 
的 窗口 ， 这 是 当前 用 户 账户 的 所 有 配置 文件 。 
@ 以 “桌面 ”文件 夹 为 例 ， 右 击 并 选择 快捷 菜单 中 的 “属性 ”命令 ， 打 开 “ 桌 面 属性 ”对 话 框 ， 切 
换 到 如 图 5-54 所 示 的 “位 置 ”选项 卡 。 


图 5-53 用 户 的 所 有 配置 文件 图 5-54 “位 置 ”选项 卡 
图 单 击 “ 移 动 ”按钮 ， 打 开 如 图 5-55 所 示 的 “选择 一 个 目标 ”对 话 框 。 选 择 其 他 分 区 上 的 某 个 特定 
文件 夹 即 可 。 


图 单 击 “ 选 择 文件 夹 ”按钮 ， 返 回 “ 桌 面 属性 ”对 话 框 ， 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 5-56 所 示 
的 “移动 文件 夹 ”对 话 框 ， 提 示 是 否 确认 移动 。 


He 
| 
隧 


各 时 四 加 个 雪 重 用 
Ss 


图 5-55 “选择 一 个 目标 ”对 话 框 图 5-56 “移动 文件 夹 ” 对 话 框 
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和 二 ED 


回 单 击 “ 是 ”按钮 ， 完 成 设置 。 用 户 配 置 文件 中 ， 其 他 目录 的 重 定 向 ， 与 此 完全 相同 ， 这 里 不 复 
歼 述 。 


© 注意 : 用 户 账户 只 能 重 定向 自己 的 配置 文件 ， 管 理 员 也 无 法 重 定向 其 他 用 户 环境 . 


5.4.2 ” 重 定向 程序 安装 目录 “Program Files” 


所 有 用 户 的 默认 应 用 程序 安装 目录 都 是 %Systemroot%\ Program Files， 随 着 安装 文件 的 增多 ， 此 文件 
夹 会 占用 大 量 的 空间 , 并且 安装 目录 固定 也 不 利于 应 用 程序 的 安全 。 通 过 修改 注册 表 即 可 将 默认 安装 目录 ， 
重 定向 到 其 他 分 区 甚至 其 他 磁盘 。 

Q@ 单 击 “ 开 始 ”按钮 显示“ 开始 ”菜单 ， 在 “开始 搜索 ”文本 框 中 输入 “regedit” 并 按 Enter 键 ， 
打开 如 图 5-57 所 示 的 “注册 表 编 辑 器 ”窗口 。 依 次 展开 HKEY_LOCAL MACHINE\SOFTWARE\ 
Microsoft\Windows\CurrentVersion 分 支 。 

@ ”在 右 侧 的 列表 框 中 双击 ProgramFilesDir 键 值 ， 显 示 如 图 5-58 所 示 的 “编辑 字符 串 ” 对 话 框 。 在 
“数值 数据 ”文本 框 中 输入 “D:\Program Files”， 将 系统 默认 的 “C:\Program Files” 目 录 ， 重 
定向 到 D:\Program Files 目录 中 。 
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图 5-57 “注册 表 编辑 器 ”窗口 图 5-58 “编辑 字符 串 ” 对 话 框 


@ 单 击 “ 确 定 ”按钮 ， 完 成 安装 目录 的 更 改 。 
@ 重新 启动 系统 ， 设 置 生效 。 


5.4.3 重 定 向 “IE 临时 文件 夹 ” 


服务 器 虽 不 经 常 上 网 ， 但 偶尔 也 会 由 于 业务 需要 访问 Internet， 使 用 正 浏览 器 浏览 网 页 时 ， 会 产生 一 
些 临 时 文件 ， 随 着 时 间 的 积累 ， 这 些 临时 文件 就 会 非常 庞大 ， 不 仅 占用 宝贵 的 系统 分 区 空间 ， 而 且 容 易 留 
下 安全 隐患 。 通 过 将 保存 临时 文件 的 文件 夹 重 定向 到 其 他 分 区 ， 即 可 解决 该 问题 。 

@ 打开 正 浏览 器 , 在 菜单 栏 中 选择 “工具 ”|“Internet 选项 ”命令 , 显示 如 图 5-59 所 示 的 “Internet 

选项 ”对 话 框 。 
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第 5 章 用 户 账户 安全 


@ 切换 到 “常规 ”选项 卡 ， 在 “浏览 历史 记录 ”选项 区 域 中 ， 单 击 “ 设 置 ”按钮 ， 显 示 如 图 5-60 所 
示 的 “Internet 临时 文件 和 历史 记录 设置 ”对 话 框 。 
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图 5-59 “Internet 选项 ”对 话 框 图 5-60 “Internet 临时 文件 和 历史 记录 设置 ”对 话 框 


@ 系统 默认 的 临时 文件 夹 的 位 置 为 “C:\Users\Administrator\AppDate\Local\Microsoft\Windows 
Internet Files\”， 要 重 定向 到 其 他 位 置 单 击 “Internet 临时 文件 ”选项 区 域 中 的 “移动 文件 夹 ” 
按钮 ， 显 示 如 图 5-61 所 示 的 “浏览 文件 夹 ”对 话 框 ， 选 择 文件 夹 的 目标 位 置 。 

单 击 “确定 ”按钮 ， 返 回 到 “设置 ”对 话 框 。 

单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 5-62 所 示 的 “注销 ”对 话 框 。 
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全 王强 orz 持 重 启动 以 完成 对 Internet 临时 文件 的 移动 。 
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图 5-61 “浏览 文件 夹 ”对 话 框 图 5-62 “注销 ”对 话 框 
单 击 “ 是 ”按钮 ， 系 统 自动 执行 注销 操作 。 重 新 启动 后 ，“IE 临时 文件 夹 ” 生 效 。 


5.4.4” 重 定向 “虚拟 内 存 ” 


虚拟 内 存 是 用 硬盘 空间 来 弥补 计算 机 内 存 空间 的 缺乏 ， 在 早期 比较 实用 ， 但 在 目前 超大 内 存 时 代 ， 也 
可 以 通过 这 种 方法 ， 提 高 系统 处 理 速度 。 默 认 情 况 下 ， 系 统 自动 将 系统 分 区 的 一 部 分 空间 作为 虚拟 内 存 ， 
通过 将 虚拟 内 存 重 定向 到 其 他 分 区 ， 可 以 释放 系统 分 区 空间 ， 提 高 系统 可 靠 性 。 

@ 右 击 “我 的 电脑 ”并 选择 菜单 中 的 “属性 ”命令 ， 显 示 如 图 5-63 所 示 的 “系统 ”窗口 。 

@ 单 击 “ 高 级 系统 设置 ” 链接, 打开 “系统 属性 ”对 话 框 , 切换 到 如 图 5-64 所 示 的 “高 级 ”选项 卡 。 

图 在 “性 能 ”选项 区 域 中 ， 单 击 “ 设 置 ” 按钮， 打开 “性 能 选项 ”对 话 框 ， 切 换 到 如 图 5-65 所 示 的 
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“高 级 ”选项 卡 ， 显 示 当 前 系统 虚拟 内 存 大 小 为 1024 MB。 


有 二 看 有 关 计 芷 机 的 基本 位 向 
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图 5-63 “系统 ”窗口 图 5-64 “高 级 ”选项 卡 


图 在 “虚拟 内 存 ” 选 项 区 域 中 ， 单 击 “更 改 ” 按 钮 ， 显 示 如 图 5-66 所 示 的 “虚拟 内 存 ” 对 话 框 。 取 
消 选中 “自动 管理 所 有 驱动 器 的 分 页 文件 大 小 ” 复 选 枉 ， 即 可 开始 修改 每 个 分 区 的 虚拟 内 存 设 置 。 


图 5-65 “性 能 选项 ”对 话 框 图 5-66 “虚拟 内 存 ” 对 话 框 


回 在 “驱动 器 ”列表 框 中 ， 选 择 系统 默认 的 驱动 器 “C: ”， 在 “每 个 驱动 器 的 分 页 文件 大 小 ”选项 
区 域 中 ， 选 择 “ 无 分 页 文件 ” 单 选 按钮 ， 单 击 “ 设 置 ”按钮 ， 删 除 默认 驱动 器 的 性 能 内 存 设 置 ， 
显示 如 图 5-67 所 示 的 “系统 属性 ”对 话 框 。 

在 “驱动 器 ”列表 框 中 ， 选 择 驱动 器 “E: ”， 在 “每 个 择 驱 动 器 的 分 页 文件 大 小 ”选项 区 域 中 ， 
选择 “ 自 定义 大 小 ” 单 选 按钮 ， 在 “初始 大 小 ”文本 框 中 ， 输 入 虚拟 内 存 的 初始 值 ， 在 “最 大 值 ” 
文本 框 中 输入 虚拟 内 存 的 最 大 值 。 单 击 “ 设 置 ” 按钮 , 即 可 完成 驱动 器 的 性 能 内 存 设置 , 如 图 5-68 
所 示 。 虚 拟 内 存 大 小 通常 为 物理 内 存 的 2 倍 左右 ， 可 依 实际 情况 而 定 。 


提示 : 也 可 以 选择 “系统 管理 的 大 小 ” 单 选 按 钮 ， 由 系统 自动 分 配 适 当 大 小 的 虚拟 内 存 空间 ， 此 时 “分 
页 文件 大 小 ”也 将 显示 为 “托管 的 系统 ”状态 。 
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图 5-67 “系统 属性 ”对 话 框 
@ 单 击 3 次“ 确定” 按钮， 关闭 “系统 属性 ”对 话 框 。 重 新 启动 计算 机 ， 即 可 使 设置 生效 。 


用 户 配 置 文件 ， 是 用 户 登 录 时 系统 加 载 所 需 环 境 的 设置 和 文件 的 集合 


图 5-68 重 定向 虚拟 内 存 


5.5 ” 域 用 户 配置 文件 安全 


包括 所 有 用 户 专用 的 配置 设置 ， 


如 程序 项 目 、 屏 幕 颜色 、 网 络 连 接 、 打 印 机 连接 、 鼠 标 设置 及 窗口 的 大 小 和 位 置 等 。 当 用 户 使 用 Windows 
2000 以 上 操作 系统 的 计算 机 第 一 次 登录 到 域 时 ， 就 会 为 用 户 自动 创建 专用 配置 文件 。 


5.5.1 用 户 配置 文件 概述 


用 户 配置 文件 包括 所 有 用 户 专用 的 配置 设置 。 用 户 配 置 文件 在 系统 的 什么 位 置 呢 ? 用 户 配 置 文件 包括 


哪些 内 容 呢 ? 下 面 我 们 来 介绍 这 些 内 容 。 


1. 用 户 配置 文件 类 型 


根据 用 户 配置 文件 应 用 工作 环境 的 不 同 ， 用 户 配 置 文件 可 分 为 如 下 4 种 配置 文件 类 型 。 


”本 地 用 户 配 置 文件 。 第 一 次 登录 到 计算 机 时 ， 将 创建 本 地 用 户 配置 文件 ， 并 存储 在 计算 机 的 本 地 
硬盘 上 。 对 本 地 用 户 配 置 文 件 所 做 的 任何 更 改 都 只 是 针对 用 户 所 在 的 计算 机 。 
”漫游 用 户 配 置 文件 。 漫 游 用 户 配 置 文 件 由 系统 管理 员 创建 ， 通 常 存储 在 服务 器 上 。 每 次 登录 到 网 
络 上 的 任何 一 台 计 算 机 时 ， 都 可 以 使 用 该 配置 文件 。 对 漫游 用 户 配置 文件 所 做 的 更 改 将 在 服务 器 


上 更 新 。 


”强制 用 户 配 置 文件 。 此 文件 是 用 来 为 个 人 或 整个 用 户 组 指定 特殊 设置 的 漫游 配置 文件 。 只 有 系统 


管理 员 才 能 更 改 强制 用 户 配 置 文 件 。 


“临时 用 户 配 置 文 件 。 无 法 加 载 用 户 配置 文件 时 所 发 布 的 临时 配置 文件 。 每 次 会 话 结束 时 会 删除 临 
时 配置 文件 ， 当 用 户 注销 时 ， 将 丢失 用 户 对 其 桌面 设置 和 文件 所 做 的 更 改 。 


2. 用 户 配置 文件 存储 位 置 


成 员 计算 机 使 用 域 用 户 账户 登录 到 域 后 ， 就 会 在 本 地 计算 机 上 自动 存储 用 户 配置 文件 ， 存 储 位 置 为 系 
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统 盘 ( 默 认为 5 盘 ] 下 的 Documents and Settings 文件 夹 , 如 果 是 Windows Server 2008 系统 , 则 存储 在 系统 
盘 下 的 “用 户 ” 文 件 夹 中 。 
如 果 本 机 用 户 和 域 同 名 用 户 都 在 本 机 登录 过 , 将 在 同名 文件 夹 后 面 附 加 后 级 。 例如 , 在 域 (coolpen.net) 
中 的 计算 机 上 ， 本 地 已 经 存在 Administrator 的 账户 ， 域 上 也 有 一 个 Administrator 账户 ， 即 使 用 两 个 名 称 
的 账户 以 不 同 的 方式 登录 过 这 人 台 计 算 机 ， 如 果 本 地 账户 的 用 户 配 置 文件 夹 为 Administrator， 那 么 域 用 户 的 
用 户 配 置 文件 夹 为 Administrator.COOLPEN， 如 图 5-69 所 示 。 
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图 5-69 Documents and Settings 窗口 


3. 用 户 配 置 文件 夹 的 其 他 文件 

Windows 为 每 个 登录 到 计算 机 上 的 用 户 创建 配置 文件 。 除 这 些 配置 文件 外 ， 还 有 一 些 “ 特 殊 ” 的 配置 
文件 : 

(1) 默认 用 户 (Default User) 

默认 用 户 配 置 文 件 被 用 作 任 何 新 用 户 的 起 始点 。 当 用 户 第 一 次 登录 到 计算 机 时 ，Windows 将 创建 一 个 
新 文件 夹 ， 用 来 储存 新 用 户 的 配置 文件 ， 并 且 将 默认 的 配置 文件 复制 到 这 个 新 文件 夹 中 。 用 户 对 默认 配置 
文件 所 作 的 更 改 都 被 记录 到 用 户 配置 文件 中 。 默 认 情况 下 ， 默 认 用 户 配 置 文件 的 属性 是 隐藏 。 

(2) 所 有 用 户 (All Users) 

每 个 用 户 的 “开始 ”菜单 和 桌面 包含 所 有 项 目 ， 这 些 内 容 来 自 “ 所 有 用 户 ” 的 配置 文件 以 及 他 或 她 自 
己 的 配置 文件 。 从 “所 有 用 户 ” 的 配置 文件 中 取得 的 项 目 被 作为 公用 程序 项 ， 系 统 上 的 每 个 用 户 都 能 看 到 
这 些 。 如 果 想 要 保证 每 个 登录 的 用 户 都 能 访问 一 个 程序 或 文件 ， 那 么 就 将 它 的 快捷 方式 放 进 “所 有 用 户 ” 
的 配置 文件 中 即 可 ， 但 是 一 定 要 小 心 ， 如 果 一 个 用 户 删除 了 此 快捷 方式 或 文件 ， 对 所 有 用 户 来 说 ， 都 会 被 
删除 。 


5.5.2 ”查看 用 户 配 置 文 件 


右 击 “ 我 的 电脑 ”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 系 统 属性 ”对 话 框 ， 切 换 到 “高 
级 ”选项 卡 ， 显 示 “ 高 级 ”对 话 框 。 单 击 “ 用 户 配置 文件 ”选项 区 域 中 的 “设置 ”按钮 ， 显 示 如 图 5-70 所 
示 的 “用 户 配置 文件 ”对 话 框 。 从 图 中 可 以 看 出 ， 用 户 配置 文件 “类 型 ”是 “本 地 ”， 说 明 用 户 配置 文件 
保存 在 本 地 。 
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图 5-70 ”查看 用 户 配置 文件 


5.5.3 ”漫游 用 户 配 置 文 件 


在 部 署 Active Directory 的 网 络 中 , 所 有 域 用 户 可 以 在 域内 任意 一 台 计 算 机 登录 。 当 用 户 在 一 台 计 算 机 
上 登录 并 配置 之 后 ， 到 其 他 计算 机 上 登录 时 ， 所 有 的 设置 还 原 为 原始 设置 。 原 因 是 用 户 配置 文件 保存 在 以 
前 登录 过 的 计算 机 中 。 


1. 漫游 用 户 配 置 文件 简介 


漫游 用 户 配置 文件 是 使 用 户 登 录 到 域 中 的 计算 机 后 , 将 用 户 配 置 文件 存储 在 由 管理 员 指定 的 服务 器 中 。 
当 用 户 成 功 登 录 后 ， 用 户 配置 文件 将 复制 到 当前 登录 的 本 地 计算 机 中 。 当 本 地 计算 机 上 的 用 户 配 置 文件 修 
改 并 注销 用 户 后 ， 所 做 的 更 改 将 复制 到 存储 在 服务 器 上 的 用 户 配 置 文件 中 ， 并 在 下 次 用 户 登 录 时 应 用 。 
从 “Active Directory 用 户 和 计算 机 ”管理 控制 台中 ， 可 以 为 用 户 配 置 文件 指派 服务 器 位 置 。 如 果 用 户 
的 域 账户 中 输入 了 用 户 配置 文件 的 路 径 ， 当 用 户 注销 时 ， 该 用 户 本 地 用 户 配置 文件 的 副本 将 保存 到 本 地 和 
用 户 配置 文件 路 径 位 置 。 用 户 下 次 登录 时 ， 用 户 配 置 文件 路 径 位 置 中 存储 的 配置 文件 将 与 本 地 用 户 配置 文 
件 文件 夹 中 的 副本 进行 比较 ， 然 后 打开 最 新 的 配置 文件 副本 。 由 于 存储 在 指定 的 服务 器 中 ， 该 本 地 用 户 配 
置 文件 将 成 为 漫游 用 户 配 置 文件 。 不 论 用 户 在 什么 地 方 登录 ， 都 可 以 使 用 其 设置 和 文档 。 
2. 配置 漫游 用 户 配置 文件 
Windows Server 2008 的 “Active Directory 用 户 和 计算 机 ”允许 配置 漫游 用 户 配置 文件 存储 位 置 ， 当 
用 户 登 录 后 ， 从 服务 器 中 将 用 户 配 置 文件 下 载 到 本 地 并 加 以 应 用 。 当 用 户 注销 时 ， 将 把 本 地 的 用 户 配 置 文 
件 同 步 到 服务 器 ， 保 证 服务 器 和 本 地 计算 机 用 户 配置 文件 同步 。 
3. 服务 器 设置 
中 在 服务 器 上 创建 名 称 为 “UserShare” 的 共享 文件 夹 ， 存 储 用 户 配 置 文件 。 在 共享 文件 夹 权限 设置 
中 ， 将 “Everyone” 用 户 设置 为 “共有 者 ”， 如 图 5-71 所 示 。 
回 ”在 “Active Directory 用 户 和 计算 机 ”窗口 中 ， 右 击 liuxh 用 户 ， 并 选择 快捷 菜单 中 的 “属性 ” 命 
令 ， 显 示 “liuxh 属性 ”对 话 框 。 切 换 到 如 图 5-72 所 示 的 “配置 文件 ”选项 卡 。 在 “用 户 配 置 文 
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件 ” 选 项 区 域 的 “配置 文件 路 径 ” 文 本 框 中 ， 输 入 共享 文件 夹 地 址 ， 例 如 “\\lxh-2008\ 
usershare\%username%”，“]xh-2008” 是 域 控 制 器 的 主机 名 。 


Usershare WXH-2008) 
WGt-2008\UserShare 


图 5-71 创建 共享 文件 夹 图 5-72 ”配置 用 户 配置 文件 
图 单 击 “ 确 定 ”按钮 ， 设 置 完成 域 用 户 liuxh 配置 文件 。 
4. 用 户 配置 文件 验证 


客户 端 计算 机 注销 ， 重 新 登录 到 域 。 


@ 使 用 “查看 用 户 配置 文件 ”介绍 的 方法 ， 查 看 当前 登录 的 用 户 的 配置 文件 的 类 型 ， 域 用 户 liuxh 
配置 文件 类 型 为 “漫游 ”， 如 图 5-73 所 示 。 

@ 在 域 控制 器 中 ,打开 创建 的 共享 文件 夹 Usershare, 将 显示 与 域 用 户 账户 liuxh 同名 的 文件 夹 iuxh， 
如 图 5-74 所 示 。 域 用 户 liuxh 的 漫游 用 户 配置 文件 存储 在 该 目录 下 。 


Fy 下 加 


图 5-73 ”用户 配 置 文件 验证 图 5-74 ”共享 文件 夹 中 的 用 户 配置 文件 目录 
图 域 用 户 liuxh 到 其 他 域内 计算 机 上 登录 ， 将 显示 相同 的 配置 文件 以 及 配置 环境 。 
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文件 安全 是 系统 安全 中 最 重要 的 课题 之 一 ， 既 要 确 


保 网 络 用 户 能 够 正常 使 有 


所 需 的 文件 ， 又 要 防止 其 滥用 ， 


确保 文件 的 安全 性 。 通 常情 况 下 ， 可 以 通过 为 文件 设置 


适当 的 访问 权限 ， 限 制 


户 的 非法 访问 ， 达 到 访问 控制 


的 目的 。 另 外 ， 在 Windows Server 2008 系统 中 ， 还 提 
保护 功能 ， 可 以 确保 局 域 网 内 文 


供 了 AD RMS 文件 安全 
件 的 安全 访问 。 


全 关键 记 


基于 NTFS 文件 系统 的 安全 设置 
权限 管理 服务 
共享 资源 安全 


人 


6.1 基于 NTFS 文件 系统 的 安全 设置 


NTEFS 是 网 络 服务 器 上 使 用 最 多 的 文件 系统 ， 其 主要 特点 是 安全 性 高 ， 便 于 网 络 文件 安全 的 统一 管理 ， 
允许 管理 员 为 文件 配置 详细 的 访问 控制 权限 。Windows Server 2008 要 求 系统 分 区 必须 为 NTFS 文件 系统 ， 
以 便于 为 各 种 网 络 服务 数据 及 日 志 信 息 提 供 更 安全 的 存储 和 访问 环境 。 


6.1.1 NTFS 权限 概述 


权限 是 指 与 计算 机 或 网 络 上 的 对 象 (如 文件 和 文件 夹 ] 关 联 的 访问 规则 ， 用 于 确定 用 户 是 否 可 以 访问 对 
象 ， 可 以 执行 哪些 操作 。 本 地 计算 机 管理 员 或 域 管理 员 可 以 为 普通 用 户 和 组 分 配 权限 。 使 用 NTFS 文件 系 
统 ， 管 理 员 可 以 实现 对 文件 和 文件 夹 的 授权 访问 ， 从 而 确保 服务 器 文件 存储 的 安全 。 默 认 情况 下 ， 只 有 授 
予 用 户 允 许 访问 权限 时 ， 该 用 户 才 可 以 访问 ， 否 则 是 无 法 访问 的 。 

1. NTFS 文件 夹 权限 和 NTFS 文件 权限 

对 于 NTFS 分 区 上 的 文件 和 文件 夹 , 管理 员 可 以 通过 NTFS 权限 限制 不 同 用 户 账户 的 访问 权限 。 文件 和 
文件 夹 的 NTFS 权限 有 两 种 类 型 ， 显 式 权 限 和 继承 权限 。 其 中 ， 显 式 权限 是 系统 创建 对 象 时 ， 默 认 赋 予 用 
户 账户 的 访问 和 操作 权限 继承 权限 是 从 父 对 象 传播 到 当前 对 象 的 权限 。 继 承 权限 可 以 减轻 管理 权限 的 任 
务 , 并且 确保 给 定 容器 内 所 有 对 象 之 间 的 权限 一 致 性 .默认 情况 下 , 文件 将 自动 继承 来 自 其 父 文件 夹 的 NTFS 
权限 设置 。 

(1) NTFS 文件 夹 权 限 

NTFS 文件 夹 权 限 及 允许 用 户 完成 的 操作 如 下 表 6-1 所 示 。 


表 6-1 NTFS 文件 夹 权 限 


NTFS 文件 夹 权限 允许 用 户 完成 的 操作 
读 取 查看 该 文件 夹 中 的 文件 和 子 文件 夹 ; 

查看 文件 夹 的 所 有 者 、 权 限 和 属性 (如 只 读 、 隐 藏 、 存 档 和 系统 ) 
入 在 该 文件 夹 内 新 建文 件 和 子 文件 夹 ; 


更 改 文件 夹 属性 ， 查 看 文件 夹 的 所 有 者 和 权限 
列 出 文件 夹 目录 查看 该 文件 夹 中 的 文件 和 子 文件 夹 的 名 称 
完成 “ 读 取 ” 权 限 和 “ 列 文件 夹 目 录 ” 权 限 所 允许 的 操作 ; 


Re 漫游 各 个 文件 夹 ， 以 便 访 问 其 他 文件 和 文件 夹 ， 即 使 该 用 户 没有 那些 文件 夹 的 权限 
修改 完成 “ 写 入 ”权限 及 “ 读 取 及 执行 ”权限 所 允许 的 操作 : 

删除 文件 夹 
完全 控制 完成 其 他 所 有 NTFS 权限 允许 的 操作 


更 改 权 限 ， 取 得 所 有 权 和 删除 子 文件 夹 和 文件 


(2) NTFS 文件 权限 
NTFS 文件 权限 及 允许 用 户 完成 的 操作 如 表 6-2 所 示 。 
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表 6-2 NTFS 文件 权限 及 允许 用 户 完成 的 操作 


NTFS 文件 权限 允许 用 户 完成 的 操作 


读 取 读 取 该 文件 和 查看 文件 属性 、 所 有 者 及 权限 
写 入 覆盖 该 文件 ， 更 改 文件 属性 和 查看 文件 的 所 有 者 和 权限 
读 取 及 运行 完成 “ 读 取 ” 权 限 所 允许 的 操作 ; 
运行 应 用 程序 
修改 完成 “ 写 入 ”权限 和 “ 读 取 及 运行 ”权限 所 允许 的 操作 ; 


修改 和 删除 文件 
完成 其 他 所 有 NTFS 文件 权限 所 允许 的 操作 ; 
更 改 权 限 和 取得 所 有 权 


完全 控制 


2. 访问 控制 列表 

权限 是 与 特定 用 户 或 组 相关 联 的 ， 或 者 是 被 管理 员 指派 到 用 户 和 组 的 安全 描述 符 。 用 户 和 组 的 每 个 权 
限 的 分 配 都 会 在 系统 中 作为 访问 控制 条 目 [(ACE，Access Control Entries] 显 示 ， 访 问 控制 列表 (ACL，Access 
Control Lists] 就 是 这 些 访问 控制 条 目的 集合 。 如 果 ACL 中 不 存在 相应 的 ACE， 则 系统 将 自动 拒绝 该 用 户 账 
户 访问 相应 资源 。 

访问 控制 列表 有 两 种 : 任意 访问 控制 列表 (Discretionary ACL) 和 系统 访问 控制 列表 (System ACL)。 任 意 
访问 控制 列表 包含 用 户 和 组 的 名 称 列表 及 其 相应 的 权限 ， 例 如 允许 或 拒绝 等 。 系 统 访问 控制 列表 是 为 审核 
服务 的 ， 包 含 对 象 被 访问 的 时 间 。 

访问 控制 条 目 包含 用 户 或 组 的 SID 以 及 对 象 的 权限 。 访 问 控制 项 有 两 种 :允许 访问 和 拒绝 访问 ， 其 中 
拒绝 访问 的 优先 级 高 于 允许 访问 。 当 使 用 管理 工具 列 出 对 象 的 访问 权限 时 ， 列 表 的 排序 是 以 文字 为 顺序 的 ， 
并 不 像 防火 墙 的 规则 那样 由 上 往 下 的 顺 次 执行 ， 访 问 控制 条 目 中 的 权限 是 永远 不 会 冲突 的 ， 并 且 拒绝 访问 
总 是 优先 于 允许 访问 的 。 

用 户 通过 验证 后 ， 登 录 进程 会 分 配给 用 户 一 个 访问 令 牌 ， 该 令 牌 相当 于 用 户 访 问 系统 资源 的 票证 ， 即 
当 用 户 试 图 访问 系统 资源 时 , 将 访问 令 牌 提供 给 Windows Server 2008 系统 ， 系统 将 收 到 的 访问 令 牌 与 目 
标 资源 的 访问 控制 列表 核对 。 如 果 用 户 被 允许 访问 该 对 象 ，Windows Server 2008 将 会 分 配给 用 户 适 当 的 
访问 权限 ， 否 则 用 户 将 无 法 访问 指定 资源 。 

3. 多 重 NTFS 权限 


管理 员 可 以 根据 需要 为 NTFS 分 区 上 的 文件 和 文件 夹 同时 设置 NTFS 权限 , 而 文件 夹 和 文件 又 有 可 能 是 
包含 与 被 包含 的 关系 ， 所 以 必然 会 产生 资源 权限 的 重复 ， 从 而 直接 导致 文件 夹 或 文件 最 终 的 NTFS 权限 并 
非 是 管理 员 真正 需要 的 结果 

(CD 权限 是 累积 的 
和 户 对 一 个 资源 的 最 终 权 限 ， 是 为 该 用 户 指定 的 全 部 NTFS 权限 和 为 该 用 户 所 属 组 指定 的 全 部 NTFS 
权限 之 和 。 如 果 某 用 户 拥 有 一 个 文件 夹 的 读 取 权限 ， 同 时 又 是 对 该 文件 夹 有 写 入 权限 的 用 户 组 的 成 员 ， 则 
最 终 该 用 户 对 这 个 文件 夹 既 有 读 取 权 限 ， 也 有 写 入 权限 。 

例如 ， 用 户 账户 liuxh 隶属 于 Manager 组 ， 并 且 该 用 户 本 身 对 Folder 文件 夹具 有 读 取 权 限 ， 而 其 所 在 
的 用 户 组 Manager 对 Folder 文件 夹 拥有 写 入 权限 ,所 以 最 终 用 户 liuxh 对 Folder 文件 夹 的 有 效 权限 就 是 “ 读 
取 + 写 入 ”， 如 图 6-1 所 示 。 
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(2) 文件 权限 优先 于 文件 夹 权限 

NTFS 文件 权限 优先 于 NTFS 文件 夹 权 限 ， 即 用 户 只 要 有 访问 一 个 文件 的 权限 ， 即 使 没有 访问 该 文件 所 
在 文件 夹 的 权限 ， 也 可 以 访问 该 文件 。 用 户 可 以 通过 用 通用 命令 规则 (UNC] 或 本 地 路 径 ， 从 各 自 的 应 用 程序 
打开 有 权 访 问 的 文件 。 即 使 该 用 户 由 于 没有 包含 该 文件 夹 的 权限 而 看 不 到 该 文件 夹 ， 但 仍然 可 以 访问 那些 
文件 。 

例如 ，Folder 文件 夹 下 包含 Filesl 和 Files2 两 个 文件 ，Folder 的 文件 夹 权限 允许 用 户 liuxh 写 入 , 但 
File2 的 NTFS 权限 只 允许 用 户 liuxh 读 取 ， 则 此 时 用 户 liuxh 的 有 效 权限 就 是 对 Folder 文件 夹 (包括 File1) 
的 写 入 权限 和 对 File2 的 读 取 权 限 ， 如 图 6-2 所 示 。 


图 6-1 权限 是 累积 的 图 6-2 文件 权限 优先 于 文件 夹 权限 


(3] 拒绝 权限 优先 于 其 他 权限 

在 Windows 系统 的 所 有 NTFS 权限 中 ， 拒 绝 权限 优先 于 其 他 任何 权限 。 即 使 用 户 作为 一 个 组 的 成 员 有 
权 访 问 文件 或 文件 夹 , 一 旦 该 用 户 被 设置 了 拒绝 访问 权限 ， 则 最 终 将 剥夺 该 用 户 可 能 拥有 的 任何 其 他 权限 。 
在 实际 使 用 中 ， 应 当 尽量 避免 使 用 拒绝 权限 ， 因 为 允许 用 户 和 组 进行 某 种 访问 ， 要 比 设置 拒绝 权限 更 容易 
做 到 。 而 事实 上 ， 只 需 巧 妙 地 构造 组 和 灵活 组 织 文件 夹 中 的 资源 ， 即 可 通过 各 种 各 样 的 “允许 ”权限 满足 
访问 控制 的 需求 。 

例如 ，Userl 同时 属于 Group B 组 和 Group A 组。 其 中 ，Userl 拥有 对 Folder A 的 读 取 权 限 ，Group B 
拥有 对 Folder A 的 读 取 和 写 入 权限 ，Group A 则 被 禁止 对 File2 的 写 操作 。 因 此 ，Userl 拥有 对 Folder A 和 
Filel 的 读 取 和 写 入 权限 ， 但 对 File2 只 有 读 取 权限 ， 如 图 6-3 所 示 。 


图 6-3 ”拒绝 权限 优先 于 其 他 权限 
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4. NTFS 权限 的 继承 性 


默认 情况 下 ，NTFS 权限 是 具有 继承 性 的 。 所 谓 继承 性 ， 就 是 指 NTFS 权限 自动 从 父 对 象 传播 到 当前 对 
象 的 过 程 ， 例 如 子 文件 夹 继承 来 自 其 父 文 件 夹 的 NTFS 权限 ， 文 件 继承 来 自 文 件 夹 的 NTFS 权限 等 。 当 然 ， 
正 是 因为 Windows 系统 默认 启用 了 NTFS 权限 继承 ， 才 会 使 用 户 不 容易 更 加 直观 的 判断 对 象 最 终 的 NTFS 
权限 值 。 管 理 员 可 以 根据 实际 情况 ， 限 制 这 种 权限 继承 。 

(了 权限 继承 

文件 和 子 文件 夹 从 其 父 文件 夹 继 承 权限 ， 即 管理 员 为 父 文件 夹 指 定 的 任何 权限 ， 同 时 也 适用 于 在 该 父 
文件 夹 中 所 包含 的 子 文件 夹 和 文件 。 当 为 一 个 NTFS 文件 夹 指 定 权 限时 ， 不 仅 为 该 文件 夹 及 其 中 所 包含 的 
文件 和 子 文件 夹 指 定 了 权限 ， 同 时 也 为 将 来 在 该 文件 夹 中 创建 的 所 有 新 文件 和 文件 夹 指 定 了 权限 。 默 认 情 
况 下 ， 所 有 文件 夹 和 文件 都 会 自动 从 其 父 文件 夹 继 承 权限 。 

例如 ， 当 允许 权限 继承 时 ， 为 Folderl 设置 的 访问 权限 ， 将 自动 被 传递 给 Filel1、Folder2 和 File2。 也 
就 是 说 ， 子 文件 夹 Folder2 和 文件 Filel、File2 将 自动 取得 为 父 文件 夹 Folderl 设置 的 访问 权限 ， 如 图 6-4 
所 示 。 

(2) 禁止 权限 继承 

可 以 禁止 指定 给 一 个 父 文件 夹 的 权限 被 这 个 文件 夹 中 所 包含 的 子 文件 夹 和 文件 继承 。 也 就 是 说 ， 子 文 
件 夹 和 文件 不 会 继承 指定 给 包含 它们 的 父 文件 夹 的 权限 。 被 禁止 继承 权限 的 文件 夹 变 成 新 的 父 文 件 夹 ， 为 
该 文件 夹 指 定 的 权限 将 会 被 它 所 包含 的 任何 子 文件 夹 和 文件 继承 。 

例如 ， 当 禁止 权限 继承 时 ， 为 Folder1 设置 的 访问 权限 ， 将 不 被 传递 给 Filel1、Folder2 和 File2。 也 就 
是 说 ， 子 文件 夹 Folder2 和 文件 Filel、File2 不 能 自动 取得 为 父 文件 夹 Folderl 设置 的 访问 权限 ， 必 须 为 这 
些 子 文件 夹 和 文件 分 别 设置 访问 权限 ， 如 图 6-5 所 示 。 


图 6-4 权限 继承 图 6-5 禁止 权限 继承 


6.1.2 设置 NTFS 权限 


NTFS 权限 不 仅 在 本 地 系统 或 本 地 域 中 有 效 ， 当 目标 资源 在 网 络 上 共享 时 ， 这 些 权限 设置 同样 有 效 ， 并 
且 优先 级 高 于 共享 权限 设置 。 因 此 ， 从 网 络 安全 角度 考虑 ， 将 资源 设置 为 共享 之 前 ， 应 先 配置 其 NTFS 权 
限 ， 以 确保 访问 的 安全 性 。 


1. 设置 NTFS 权限 基本 策略 和 规则 
在 设置 NTFS 权限 时 ， 必 须 遵循 以 下 基本 策略 和 规则 : 
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为 了 简化 管理 ， 应 事先 对 目标 文件 进行 分 类 管理 ， 将 同一 类 别 归 于 同一 文件 夹 中 ， 例 如 可 以 分 为 
应 用 程序 、 数 据 和 主 目录 文件 夹 等 ， 并 将 主 目录 和 公共 文件 夹 集 中 在 一 个 与 应 用 程序 和 操作 系统 
分 开 的 独立 卷 上 ， 从 而 只 需 为 文件 夹 指定 权限 ， 而 不 必 为 单独 的 文件 指定 权限 。 另 外 ， 将 所 有 历 
史 数 据 保存 在 同一 目录 下 ， 还 减少 了 备份 工作 的 复杂 性 。 

在 文件 夹 级 指定 需要 的 全 部 权限 ， 而 不 是 在 文件 级 指定 权限 。 对 于 希望 限制 用 户 访问 的 文件 用 单 
独 的 文件 夹 将 文件 分 组 ， 然 后 为 该 文件 夹 指定 受 限制 的 访问 权限 。 

只 允许 用 户 拥 有 他 们 所 需要 的 存 取 级 别 ， 也 就 是 说 ， 为 用 户 或 用 户 组 指定 最 严格 的 NTFS 权限 ， 
只 要 能 够 完成 所 需 的 任务 即 可 ， 从 而 减少 用 户 意外 修改 或 删除 重要 文档 和 程序 文件 的 可 能 性 。 如 
果 用 户 只 需要 读 取 一 个 文件 ， 那 么 ， 就 只 赋予 其 对 该 文件 的 读 取 权 限 。 

按照 组 成 员 对 资源 的 访问 需要 创建 组 ， 然 后 ， 为 组 指定 适当 的 权限 。 只 有 必要 时 才 为 单独 的 用 户 
指定 权限 。 

对 于 全 部 应 用 程序 的 可 执行 文件 ， 应 当 为 Administrators 组 指定 读 取 、 执 行 权 限 和 更 改 权 限 ， 但 
只 为 Users 组 指定 读 取 和 执行 权限 ， 从 而 有 效 防止 应 用 程序 文件 被 删除 或 破坏 。 

对 于 公共 数据 文件 来， 应 当 为 Creator Owner 指定 完全 控制 权限 ， 使 用 户 可 以 删除 和 修改 其 创建 
的 文件 和 文件 夹 ， 从 而 完全 访问 在 公共 数据 文件 夹 中 创建 的 文件 或 文件 夹 。 

对 于 公共 文件 夹 ， 应 当 为 Everyone 组 指定 读 取 权 限 和 写 入 权限 ， 并 为 Creator Owner 指定 完全 控 
制 权 限 ， 使 用 户 能 够 完全 访问 他 们 创建 的 文件 ， 读 取 和 修改 其 他 用 户 创 建 的 文件 ， 并 能 够 读 取 、 
修改 和 删除 他 们 自己 创建 的 文件 和 文件 夹 。 同时 , Everyone 组 的 成 员 只 能 读 取 该 文件 夹 中 的 文件 ， 
并 可 向 该 文件 夹 中 添加 文件 。 

设置 允许 权限 而 不 是 拒绝 权限 。 如 果 不 希望 让 某 个 用 户 或 用 户 组 访问 某 个 特定 的 文件 夹 或 文件 
就 不 要 为 其 指定 权限 。 拒 绝 权限 应 当 是 个 例外 ， 而 不 是 经 常 使 用 的 操作 。 只 有 在 必须 拒绝 特定 的 
用 户 账户 或 组 的 某 种 特定 的 访问 类 型 时 ， 才 设置 拒绝 权限 。 

如 果 只 是 在 这 台 计 算 机 上 访问 资源 ， 则 使 用 描述 性 的 长 文件 名 。 如 果 该 文件 夹 将 来 要 共享 ， 则 使 
用 可 被 所 有 客户 计算 机 访问 的 文件 夹 和 文件 名 ， 建 议 采 用 短文 件 名 的 格式 。 


借助 于 文件 服务 器 中 设置 的 访问 控制 列表 (ACL), 不 仅 可 以 最 大 限度 地 保障 重要 数据 存储 安全 ,保证 数 
据 不 会 由 于 计算 机 的 硬件 故障 而 丢失 ， 而 且 还 可 以 通过 严格 的 权限 设置 ， 有 效 地 保证 数据 的 访问 安全 。 
网 络 攻击 的 目的 在 于 获取 用 户 权限 ， 而 获取 用 户 权限 的 目的 ， 在 于 获取 超级 文件 权限 。 因 此 ， 做 好 文 
件 权限 的 访问 控制 ， 才 是 最 重要 和 最 有 效 的 安全 措施 。 

2. 设置 NTFS 文件 夹 和 文件 权限 


设置 


O 


加 


NTFS 文件 夹 访问 权限 的 主要 操作 步骤 如 下 : 

以 管理 员 账 户 登录 系统 , 打开 Windows 资源 管理 器 , 右 击 欲 设置 NTFS 权限 的 文件 夹 (本 例 以 test 
文件 夹 为 例 ]， 并 选择 快捷 菜单 中 的 “属性 ”命令 ， 打 开 “test 属性 ”对 话 框 ， 切 换 至 如 图 6-6 所 
示 的 “安全 ”选项 卡 。 

在 “组 或 用 户 名 ”列表 框 中 选择 想 要 配置 权限 的 用 户 账户 ， 如 hstjl， 在 下 面 的 权限 列表 框 中 即 可 
查看 其 当前 权限 。 单 击 “编辑 ”按钮 ， 显 示 如 图 6-7 所 示 的 对 话 框 。 继 续 在 “组 或 用 户 名 ”列表 
框 中 选择 hstl， 即 可 在 下 面 的 “hstjl 的 权限 ”列表 框 中 修改 其 权限 。 默 认 情况 下 ， 是 没有 对 普通 
用 户 设置 任何 NTFS 访问 权限 的 ， 用 户 账户 将 自动 继承 来 自 其 所 属 组 的 权限 ， 文 件 夹 将 自动 继承 
来 自 其 父 文件 夹 的 NTFS 权限 。 
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图 6-6 “安全 ”选项 卡 图 6-7 更 改 用 户 权限 


[s | 提示 : 如 果 权限 带 阴影 显示 ， 说 明 这 些 权 限 是 从 父 文件 夹 的 权限 继承 过 来 的 。 


图 如果 “组 和 用 户 名 ”列表 框 中 默认 没有 需要 的 用 户 账户 ， 则 可 以 单 击 “添加” 按钮， 显示 如 图 6-8 
所 示 的 “选择 用 户 或 组 ”对 话 框 ， 在 “输入 对 象 名 称 来 选择 ”文本 框 中 ， 输 入 想 要 添加 的 用 户 账 
户 名 并 单 击 “ 确 定 ”按钮 即 可 。 在 域 控制 器 上 还 可 以 直接 添加 其 他 被 信任 域 中 的 用 户 账户 。 

图 在 更 改 用 户 权限 对 话 框 的 “组 或 用 户 名 ”列表 框 中 ， 选 择 想 要 删除 的 用 户 或 组 ， 并 单 击 “ 删 除 ” 
按钮 ， 即 可 将 其 从 列表 框 中 删除 。 如 果 此 时 该 账户 所 属 组 未 被 删除 ， 则 该 账户 仍 具 有 相应 访问 
权限 。 

回 单 击 “ 应 用 ”和 “确定 ”按钮 ， 保 存 设置 即 可 。 重 复 上 述 操作 ， 可 以 为 不 同 用 户 账户 指定 不 同 的 
NTFS 文件 夹 权 限 。 

设置 NTFS 文件 权限 与 设置 NTFS 文件 夹 权 限 非常 相似 ， 如 图 6-9 所 示 ， 此 处 不 再 袭 述 。NTEFS 文件 权 

限 仅 对 目标 文件 有 效 ， 但 建议 用 户 尽 量 不 要 采用 直接 为 文件 设置 权限 的 方式 ， 而 应 当 将 文件 放置 于 文件 夹 
中 ， 然 后 对 该 文件 夹 设置 权限 。 


| 迁 大 用 户 或 组 


图 6-8 “选择 用 户 或 组 ”对 话 框 图 6-9 设置 NTFS 文件 权限 
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3. 取消 “Everyone” 所 有 权限 

Everyone 组 是 Windows 系统 中 的 一 个 特殊 组 ， 代 表 所 有 当前 系统 或 网 络 上 的 所 有 用 户 账户 ， 包 括 来 
自 其 他 域 或 网 络 计算 机 的 来 宾 账 户 ， 并 且 无 论 用 户 何 时 登录 到 网 络 上， 或 通过 网 络 访问 本 地 计算 机 ， 都 会 
自动 将 该 用 户 添加 到 Everyone 组 中 。 如 果 为 Everyone 组 赋予 某 种 控制 权限 ， 则 任何 用 户 都 可 以 对 所 涉及 
的 文件 夹 或 文件 进行 操作 ， 严 重 影响 系统 安全 ， 因 此 建议 取消 Everyone 组 的 所 有 权限 。 需 要 注意 的 是 , 在 
早期 版 本 的 Windows NT 系统 中 ,匿名 登录 用 户 也 是 属于 Everyone 组 的 ， 但 在 Windows Server 
2003/Windows Server 2008 系统 中 ，“ 匿 名 登录 ”组 在 默认 情况 下 已 不 是 Everyone 组 的 成 员 。 

在 资源 管理 器 中 ， 右 击 磁 盘 盘 符 ， 打 开 磁 盘 属 性 对 话 框 ， 切 换 到 “安全 ”选择 卡 ， 继 续 单 击 “编辑 ” 
按钮 ， 显 示 如 图 6-10 所 示 的 对 话 框 ， 在 “组 或 用 户 名 ”列表 框 中 选中 Everyone， 并 单 击 “ 删 除 ”按钮 将 
其 删除 。 最 后 ， 单 击 “ 确 定 ” 按 钮 保存 设置 即 可 。 

默认 情况 下 ， 在 Windows Server 2008 系统 中 ，Everyone 组 只 被 赋予 了 很 少 的 读 取 权限 ， 安 全 性 相对 
较 高 ， 但 在 早期 版 本 的 Windows NT 系统 中 ， 该 账户 却 拥 有 完全 控制 权限 ， 很 容易 对 系统 安全 造成 威胁 。 

4. 指定 高 级 访问 权限 

所 谓 高 级 权限 主要 是 指 系统 默认 赋予 对 象 的 ， 其 默认 设置 为 已 被 大 多 数 用 户 所 接受 的 权限 ， 如 权限 继 
ek 高 级 访问 权限 主要 为 管理 员 提 供 更 为 详细 的 权限 值 设 定 ， 实 现 更 加 严格 的 网 络 安全 管 

。 仍 以 test 文件 夹 为 例 ， 设 置 高 级 权限 的 主要 操作 步骤 如 下 。 

Q@ 在 文件 或 文件 夹 属性 的 “安全 ”选项 卡 中 ， 单 击 “ 高 级 ”按钮 ， 显 示 如 图 6-11 所 示 的 “test 的 高 

级 安全 设置 ”对 话 框 ， 默 认 只 能 查看 每 个 用 户 账户 的 高 级 访问 权限 设置 。 
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6-10 ”删除 Everyone 组 6-11 “test 的 高 级 安全 设置 ”对 话 框 


回 在 “权限 项 目 ” 列 表 框 中 ， 选 择 想 要 设置 高 级 权限 的 用 户 账户 ， 如 hsl。 单 击 “ 编 辑 ”按钮 ， 显 
示 如 图 6-12 所 示 的 对 话 框 ， 用 于 设置 高 级 权限 。 


提示 : 系统 默认 已 经 选中 “包括 可 从 该 对 象 的 父 项 继承 的 权限 ” 复 选 框 ， 即 自动 继承 来 自 父 对 象 的 高 级 
权限 ， 取 消 选中 此 复 选 框 即 可 禁止 NTFS 权限 的 继承 。 
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提示 : 选中 “使 用 可 从 对 象 继承 的 权限 替换 所 有 后 代 上 现 有 的 所 有 可 继承 权限 ” 复 选 框 后 ， 该 父 对 象 上 的 权限 
将 替换 其 子 对 象 上 的 权限 ; 取消 选中 该 复 选 框 ， 则 每 个 对 象 上 的 权限 (无 论 是 父 对 象 还 是 子 对 象 ) 都 将 是 唯一 的 。 


回 选择 “权限 项 目 ”列表 框 中 的 hstjl 账户 ， 单 击 “ 编 辑 ” 按 钮 ， 显 示 如 图 6-13 所 示 的 “test 的 权 
限 项 目 ” 对 话 框 。 高 级 访问 权限 共有 14 项 , 组 合 在 一 起 就 构成 了 标准 的 NTFS 权限 。 例 如 ， 标 准 的 “ 读 
取 ” 权 限 包 含 “ 读 取 数 据 ”、“ 读 取 属 性 ”、“ 读 取 权 限 ” 和 “ 读 取 扩 展 属性 ”4 种 特殊 访问 权限 。 
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图 6-12 编辑 高 级 权限 图 6-13 “test 的 权限 项 目 ” 对 话 框 


有 两 个 特殊 访问 权限 对 于 管理 文件 和 文件 夹 的 访问 者 来 说 特别 有 用 : 
(CD 更 改 权限 
被 授予 更 改 权 限 后 ， 用 户 就 具有 了 修改 目标 对 象 权限 的 权利 。 借 助 于 更 改 权 限 ， 可 以 将 针对 某 个 文件 
或 者 文件 夹 修改 权限 的 权利 ， 授 予 其 他 管理 员 和 用 户 ， 但 是 不 授予 他 们 对 该 文件 或 文件 夹 的 “完全 控制 ” 
权限 。 通 过 这 种 方式 ， 这 些 管理 员 或 者 用 户 不 能 删除 或 者 写 入 该 文件 或 者 文件 夹 ， 但 可 以 为 该 文件 或 者 文 
件 夹 授权 。 为 了 将 修改 权限 的 能 力 授予 管理 员 , 将 针对 该 文件 或 者 文件 夹 的 ”更 改 权限 ”授予 Administrators 
组 即 可 。 
(2) 取得 所 有 权 
用 户 取得 针对 目标 对 象 的 所 有 权 后 ， 就 有 具有 了 所 有 权利 。 借 助 于 该 权限 ， 可 以 将 文件 和 文件 夹 的 拥有 
权 从 一 个 用 户 账户 或 者 组 转移 到 另 一 个 用 户 账户 或 者 组 ， 也 可 以 将 “取得 所 有 权 ” 这 种 能 力 给 予 某 个 人 ， 
还 可 以 获得 某 个 文件 或 者 文件 夹 的 所 有 权 。 
在 取得 某 个 文件 或 者 文件 夹 的 所 有 权时 ， 应 当 遵循 以 下 规则 : 
”当前 的 拥有 者 或 者 具有 “完全 控制 ”权限 的 任何 用 户 , 可 以 将 “完全 控制 ”这 一 标准 权限 或 者 “ 获 
得 所 有 权 ” 这 一 特殊 访问 权限 授予 另 一 个 用 户 账 户 或 者 组 。 这 样 ， 该 用 户 账户 或 者 该 组 的 成 员 就 
能 获得 所 有 权 。 
于 ”Administrators 组 的 成 员 可 以 取得 某 个 文件 或 者 文件 夹 的 所 有 权 ， 而 不 管 该 文件 夹 或 者 文件 授予 
了 怎样 的 权限 。 如 果 某 个 管理 员 取 得 了 所 有 权 ， 则 Administrators 组 也 取得 了 所 有 权 。 因 而 该 管 
理 员 组 的 任何 成 员 都 可 以 修改 针对 该 文件 或 者 文件 夹 的 权限 ， 并 且 可 以 将 “取得 所 有 权 ” 这 一 权 
限 授予 男 一 个 用 户 账户 或 者 组 。 
”为 了 成 为 某 个 文件 或 者 文件 夹 的 拥有 者 ， 具有 “取得 所 有 权 ” 这 一 权限 的 某 个 用 户 或 者 组 的 成 员 ， 
必须 明确 地 取得 该 文件 或 者 文件 夹 的 所 有 权 。 不 能 自动 将 某 个 文件 或 者 文件 夹 的 所 有 权 授 予 任何 
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一 个 人 。 文件 的 拥有 者 、 管理 员 组 的 成 员 或 者 任何 一 个 具有 “完全 控制 ”权限 的 人 ,都 可 以 将 “ 获 
得 所 有 权 ” 权 限 授予 某 个 用 户 账户 或 者 组 ， 这 样 就 使 他 们 获得 了 所 有 权 。 


5. 复制 和 移动 文件 夹 对 权限 的 影响 


在 NTFS 分 区 内 和 NTFS 分 区 之 间 复 制 或 者 移动 文件 、 文 件 夹 时 ，Windows 系统 会 将 其 作为 新 文件 或 
文件 夹 ， 因 此， 会 对 源 文件 或 文件 夹 的 NTFS 权限 产生 影响 。 在 复制 文件 和 文件 夹 时 ， 必 须 拥有 源 文 件 夹 
的 “ 读 取 ”权限 ， 并 且 对 目标 文件 夹具 有 “ 写 入 ”权限 。 在 移动 文件 或 文件 夹 时 ， 必 须 对 目标 文件 夹 拥 有 
“ 写 入 ”权限 ， 并 且 对 源 文件 夹 拥有 “修改 ”权限 。 

当 从 一 个 文件 夹 向 另 一 个 文件 夹 复制 文件 或 文件 夹 时 ， 或 者 从 一 个 磁盘 分 区 向 另 一 个 磁盘 分 区 复制 文 
件 或 文件 夹 时 ， 复 制 文 件 或 文件 夹 会 对 NTFS 权限 产生 下 述 影 响 : 

里。 当 在 单个 NTFS 分 区 内 复制 文件 夹 或 文件 时 ， 文 件 夹 或 文件 的 复制 将 继承 目的 文件 夹 的 权限 。 

时 当 在 NTFS 分 区 之 间 复 制 文件 夹 或 文件 时 ， 文 件 夹 或 者 文件 的 复 件 将 继承 目的 文件 夹 的 权限 。 

里 当 将 文件 或 文件 夹 复制 到 非 NTFS 分 区 (如 FAT32 分 区 或 FAT 分 区 ] 时 ， 因 为 非 NTFS 分 区 不 支持 

NTFS 权限 ， 所 以 ， 这 些 文件 夹 或 文件 将 丢失 NTFS 权限 。 

移动 对 NTFS 权限 的 影响 如 下 : 

里 当 在 单个 NTFS 分 区 内 移动 文件 夹 或 文件 时 ， 该 文件 夹 或 者 文件 保留 其 原来 的 权限 。 

 。” 当 在 NTFS 分 区 之 间 移动 文件 夹 或 文件 时 ， 该 文件 夹 或 文件 将 继承 目的 文件 夹 权 限 。 当 在 NTFS 

分 区 之 间 移 动 文 件 夹 或 文件 时 ， 实 际 是 将 文件 夹 或 文件 复制 到 新 位 置 ， 然 后 ， 将 其 从 原来 的 位 置 
删除 。 

里 当 将 文件 或 文件 夹 移动 到 非 NTFS 分 区 时 ， 因 为 非 NTFS 分 区 不 支持 NTFS 权限 ， 所 以 ， 这 些 文件 

夹 或 文件 将 丢失 其 NTFS 权限 。 


6.1.3 ”设置 磁盘 配额 


磁盘 配额 是 NTFS 文件 系统 特有 的 安全 功能 ， 可 以 帮助 管理 员 控 制 每 个 用 户 账户 的 磁盘 空间 使 用 情况 。 
磁盘 配额 是 以 文件 所 有 权 为 基础 的 ， 只 应 用 于 卷 ， 且 不 受 卷 的 文件 夹 结构 及 物理 磁盘 上 的 布局 影响 。 由 于 
磁盘 配额 监视 个 人 用 户 卷 的 使 用 情况 ， 因 此 ， 每 个 用 户 对 磁盘 空间 的 利用 都 不 会 影响 同一 卷 上 其 他 用 户 的 
磁盘 配额 。 

1. 磁盘 配额 的 功能 

磁盘 配额 管理 技术 ， 主 要 是 根据 网 络 管理 员 设置 的 标准 ， 跟 踪 对 被 保护 卷 的 写 操作 ， 如 果 被 保护 卷 达 
到 或 超过 了 设 定 级 别 ， 则 用 户 就 会 收 到 服务 器 自动 发 送 的 消息 ， 警 告 该 卷 已 经 接近 配额 ， 或 者 磁盘 配额 管 
理 器 将 阻止 用 户 向 该 卷 写 数据 。 管 理 员 能 够 启用 磁盘 配额 ， 并 设置 两 个 值 : 

ms 磁盘 配额 限度 。 用 于 指定 允许 用 户 使 用 的 磁盘 空间 容量 。 

se。 磁盘 配额 警告 级 别 。 指 定 了 用 户 接近 其 配额 限度 的 值 。 

在 Windows Server 2008 系统 中 ， 管 理 员 可 以 配置 当 用 户 超 过 所 指定 的 磁盘 空间 限额 时 ， 阻 止 其 进 一 
步 使 用 磁盘 空间 和 记录 事件 ， 或 当 用 户 超过 指定 的 磁盘 空间 警告 级 别 时 ， 记 录 事 件 。 第 一 种 配置 情况 下 ， 
用 户 在 使 用 磁盘 时 如 果 超过 指定 的 磁盘 空间 ， 将 无 法 使 用 ; 第 二 种 情况 允许 用 户 超额 使 用 磁盘 ， 但 会 将 此 
情况 记录 在 事件 中 。 
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同时 可 以 指定 用 户 能 超过 其 配额 的 限度 。 如 果 不 想 拒绝 用 户 访问 卷 但 想 跟踪 每 个 用 户 的 磁盘 空间 使 用 
情况 ， 启 用 配额 但 不 限制 磁盘 空间 使 用 将 非常 有 用 。 也 可 指定 不 管用 户 超 过 配额 警告 级 别 还 是 超过 配额 限 
度 时 是 否 记 录 事 件 。 

启用 卷 的 磁盘 配额 时 ， 磁 盘 配 额 不 应 用 到 现 有 的 卷 用 户 上 。 可 以 通过 在 “配额 项 目 ”窗口 中 添加 新 的 
配额 项 目 将 磁盘 空间 配额 应 用 到 现 有 的 卷 用 户 上 。 

由 于 磁盘 配额 能 够 监视 单个 用 户 的 卷 使 用 情况 ， 因 此 每 个 用 户 对 磁盘 空间 的 利用 都 不 会 影响 同一 卷 上 
的 其 他 用 户 的 磁盘 配额 。 在 用 户 看 来 与 在 一 个 独立 的 磁盘 卷 中 进行 操作 没什么 两 样 。 

要 支持 磁盘 配额 ， 磁 盘 卷 必须 使 用 NTFS 文件 系统 格式 化 ， 且 不 受 卷 中 用 户 文件 的 文件 夹 位 置 的 限制 。 

2. 磁盘 配额 管理 


如 果 要 在 已 经 使 用 的 磁盘 中 启用 磁盘 配额 功能 ，Windows Server 2008 将 计算 到 启动 时 间 点 为 止 , 在 
该 卷 中 复制 文件 、 保 存 文件 或 取得 文件 所 有 权 的 所 有 用 户 使 用 的 磁盘 空间 。 根 据 统 计 结果 ， 自 动 为 每 个 用 
户 设置 配额 限度 和 警告 级 别 。 当 然 ， 管 理 员 可 以 为 某 个 或 多 个 用 户 设置 不 同 的 配额 或 禁用 配额 。 另 外 ， 也 
可 以 为 还 没有 在 卷 上 复制 文件 、 保 存 文件 和 取得 文件 所 有 权 的 用 户 设置 磁盘 配额 ， 或 者 在 一 个 新 创建 的 卷 
上 启用 磁盘 配额 功能 。 

使 用 磁盘 配额 过 程 中 ， 应 注意 以 下 3 个 方面 

里 驱动 器 的 文件 格式 必须 为 NTFS 文件 系统 格式 。 如 果 了 驱动器 的 磁盘 格式 为 FAT32 文件 系统 ， 可 以 
使 用 Windows Server 2003/2008 提供 的 文件 系统 转换 工具 Convert 进行 转换 。 

”必须 以 管理 员 或 管理 员 组 成 员 的 身份 登录 到 Windows 系统 。 

于。 在 文件 服务 器 上 选中 “为 此 服务 器 的 新 用 户 设置 默认 磁盘 空间 配额 ” 复 选 框 ， 在 “将 磁盘 空间 限 
制 为 ”和 “将 警告 级 别 设置 为 ”文本 框 中 ， 输 入 适当 的 数值 ， 使 用 户 只 能 使 用 规定 数额 的 磁盘 空 
间 ， 从 而 避免 服务 器 硬盘 的 滥用 。 当 用 户 使 用 的 空间 达到 指定 的 警告 值 时 ， 系 统 将 提示 用 户 磁盘 
空间 剩余 值 。 当 用 户 使 用 的 空间 达到 规定 的 磁盘 限额 时 ， 系 统 将 禁止 用 户 再 向 服务 器 写 入 文件 ， 
从 而 确保 服务 器 硬盘 空间 被 合理 、 公 平 的 使 用 。 

(D 启动 磁盘 限额 

在 默认 的 情况 下 ， 磁 盘 配 额 是 没有 启用 的 。 启 动 磁盘 配额 的 操作 步骤 如 下 。 

@ 在 Windows 资源 管理 器 中 ， 右 击 想 要 启用 配额 功能 的 NTFS 卷 ( 如 本 地 磁盘 C:)， 并 选择 快捷 菜单 
中 的 “属性 ” 命令， 打开“ 本 地 磁盘 (C:] 属性 ”对 话 框 ,切换 到 如 图 6-14 所 示 的 “配额 ”选项 卡 ， 
选中 “启用 配额 管理 ” 复 选 框 ， 即 可 启用 磁盘 配额 管理 。 
选择 其 中 相应 的 各 个 选项 ， 以 配置 系统 的 磁盘 配额 功能 : 

”选中 “拒绝 将 磁盘 空间 给 超过 配额 限制 的 用 户 ” 复 选 框 ， 超 过 其 配额 限制 的 用 户 ， 将 收 到 来 自 
Windows 的 “磁盘 空间 不 足 ” 的 错误 信息 ， 并 且 在 没有 从 中 删除 和 移动 一 些 现存 文件 的 情况 下 ， 
无 法 将 额外 的 数据 写 入 卷 中 。 如 果 取 消 选中 该 复 选 框 ， 则 用 户 可 以 超过 其 配额 限制 。 

”选择 “将 磁盘 空间 限制 为 ” 单 选 按钮 ， 并 输入 允许 卷 的 新 用 户 使 用 的 磁盘 空间 数量 ， 以 及 在 将 事 
件 写 入 系统 日 志 前 已 经 使 用 的 磁盘 空间 量 。 网 络 管 理 员 可 以 在 “事件 查看 器 ”中 查看 这 些 事件 。 在 
磁盘 空间 和 警告 级 别 中 可 以 使 用 十 进 制 数值 ， 从 下 拉 列 表 框 中 选择 适当 的 单位 (如 KB、MB、GB 等 ]。 

和 ”选中 “用 户 超出 配额 限制 时 记录 事件 ” 复 选 框 。 此 时 如 果 启 用 配额 ， 则 只 要 用 户 超 过 其 配额 限制 ， 
事件 就 会 写 入 到 本 地 计算 机 的 系统 日 志 中 。 管 理 员 可 以 用 “事件 查看 器 ”， 通 过 筛选 磁盘 事件 类 
型 来 查看 这 些 事件 。 默 认 情 况 下 ， 配 额 事件 每 小 时 都 会 被 写 入 本 地 计算 机 的 系统 日 志 
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于 ”选中 “用 户 超过 警告 等 级 时 记录 事件 ” 复 选 框 。 此 时 如 果 启 用 配额 ， 则 只 要 用 户 超过 其 警告 级 别 ， 
事件 就 会 号 入 到 本 地 计算 机 的 系统 日 志 中 。 管 理 员 可 以 用 事件 查看 器 ， 通 过 筛选 磁盘 事件 类 型 来 
查看 这 些 事件 。 默 认 情 况 下 ， 配 额 事件 每 小 时 都 会 被 写 入 本 地 计算 机 的 系统 日 志 中 。 

单 击 “ 确 定 ”按钮 ， 保 存 所 做 设置 ， 启 用 磁盘 配额 完成 。 

启用 磁盘 配额 管理 后 ， 所 有 的 用 户 都 使 用 磁盘 配额 启动 时 设置 的 默认 配额 限制 和 配额 警告 级 别 。 
使 用 配额 项 目 管理 可 以 为 每 一 个 用 户 设 置 适合 的 磁盘 配额 ， 对 用 户 的 磁盘 配额 设置 进行 维护 ， 并 
且 可 以 记录 每 一 个 用 户 对 磁盘 空间 的 使 用 情况 。 

(2) 为 特定 的 用 户 磁盘 配额 

若 让 某 一 个 用 户 使 用 更 多 的 空间 ， 可 以 为 该 用 户 单独 制定 更 大 的 磁盘 配额 。 


@ 在 驱动 器 属性 对 话 框 中 , 切换 到 “配额 ”选项 卡 , 单 击 “ 配 额 项 ”按钮 , 显示 如 图 6-15 所 示 的 “(C:] 
的 配额 项 ”窗口 。 


@ 
@ 


图 6-14 “配额 ”选项 卡 图 6-15 “(C:) 的 配额 项 ”窗口 


@ 选择 “配额 ” |“ 新 建 配额 项 ”命令 ， 或 者 单 击 工具 栏 中 的 “新 建 配 额 项 ”按钮 ， 显 示 如 图 6-16 
所 示 的 “选择 用 户 ” 对 话 框 。 在 “选择 此 对 象 类 型 ”文本 框 中 显示 出 当前 的 对 象 类 型 为 “用 户 ”， 
可 采用 系统 的 默认 值 。 在 “输入 对 象 名 称 来 选择 ”文本 框 中 ， 输 入 要 设置 配额 的 用 户 名 称 。 单 击 
“检查 名 称 ”按钮 ， 检 查 输入 的 用 户 账户 是 否 存在 。 

图 单 击 “ 确 定 ”按钮 ， 显 示 如 图 6-17 所 示 的 “添加 新 配额 项 ”对 话 框 。 选 择 “ 将 磁盘 空间 限制 为 ” 
单 选 按钮 ， 并 在 其 后 文本 框 中 为 该 用 户 设置 访问 磁盘 的 空间 。 


于 到 由 


图 6-16 “选择 用 户 ” 对 话 框 图 6-17 “添加 新 配额 项 ”对 话 框 


图 单 击 “ 确 定 ” 按 钮 保存 用 户 的 磁盘 配额 设置 ， 返回 到 “(C:] 的 配额 项 目 ” 窗 口 ， 可 以 看 到 新 创建 
的 用 户 Administrator 配额 项 显示 在 列表 框 中 。 
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如 果 想 删除 指定 用 户 的 配额 项 ， 可 选择 用 户 名 ， 右 击 并 选择 快捷 菜单 中 的 “删除 ”命令 即 可 。 
使 用 指定 配额 项 具有 以 下 几 个 优点 : 

”登录 到 相同 计算 机 的 多 个 用 户 之 间 互 不 影响 。 

”一 个 或 多 个 用 户 不 独占 公用 服务 器 上 的 磁盘 空间 。 

”在 个 人 计算 机 的 共享 文件 夹 中 ， 用 户 不 使 用 过 多 的 磁盘 空间 。 


3. 监控 每 个 用 户 的 磁盘 配额 使 用 情况 


当 为 用 户 设置 好 磁盘 配额 以 后 ， 除 了 可 以 借助 “日 志 查 看 器 ” 浏 览 
磁盘 占用 情况 外 ， 在 配额 项 窗口 中 ， 也 可 以 监视 每 个 用 户 的 磁盘 配额 全 
用 情况 ， 并 可 单独 设置 每 个 用 户 可 使 用 的 磁盘 空间 。 也 就 是 说 配额 项 的 
主 界面 就 是 一 个 用 户 配额 监控 器 。 

如 果 要 更 改 某 一 个 用 户 的 磁盘 配额 设置 ， 可 右 击 该 用 户 ， 选 择 快捷 
菜单 中 的 “属性 ”命令 ， 显 示 如 图 6-18 所 示 的 配额 设置 对 话 柜 ， 可 以 。 图 6.18 配额 设 置 对 活检 
更 改 用 户 的 磁盘 空间 限制 及 警告 等 级 。 


6.1.4 文件 屏蔽 


文件 屏蔽 是 文件 服务 器 中 的 重要 功能 ， 部 署 文件 服务 器 之 后 ， 即 可 使 用 该 功能 限制 用 户 向 文件 服务 器 
写 入 的 文件 类 型 。 任 何 用 户 将 限制 类 型 的 文件 写 入 目标 文件 夹 时 ， 都 将 出 现 “目标 文件 夹 访问 被 拒绝 ”的 
信息 。 文 件 屏蔽 的 主要 目的 是 限制 非法 授权 文件 写 入 定义 的 文件 夹 。 

1. 创建 限制 文件 组 

限制 文件 组 ， 就 是 定义 需要 限制 的 文件 类 型 ， 支 持 通配符 (*、? 等 ] 定 义 。 文 件 服务 安装 完成 后 ， 预 定义 
了 411 个 文件 组 。 本 例 屏蔽 除 文本 文件 外 的 所 有 文件 类 型 。 

@@ ”依次 选择 “开始 ”一 “管理 工具 ”一 “文件 服务 器 资源 管理 器 ”选项 ， 打 开 “ 文 件 服务 器 资源 管 

理 器 ”窗口 ， 依 次 展开 “文件 屏蔽 管理 ”一 “文件 组 ”， 显 示 如 图 6-19 所 示 的 窗口 。 


图 6-19 “文件 服务 器 资源 管理 器 ”窗口 
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回 右 击 “文件 组 ”， 在 弹出 的 快捷 菜单 中 选择 “创建 文件 组 ”命令 ， 显 示 如 图 6-20 所 示 的 “创建 文 
件 组 属性 ”对 话 框 。 在 “文件 组 名 ”文本 框 中 输入 新 文件 组 的 名 称 ; 在 “要 包含 的 文件 ”文本 框 
中 ， 输 入 “**”， 表 示 当 前 策略 关联 所 有 类 型 的 文件 。 

图 单 击 “ 添 加 ”按钮 ， 将 “**” 加 入 到 文件 列表 框 中 。 如 需 排除 某 种 类 型 的 文件 ， 可 以 在 “要 排除 
的 文件 ”文本 框 中 输入 对 应 文件 的 扩展 名 (如 * bx， 然后 单 击 其 右 侧 的 “添加 ”按钮 ， 将 其 加 入 到 
文件 列表 框 中 ， 如 图 6-21 所 示 。 


图 6-20 “创建 文件 组 属性 ”对 话 框 图 6-21 添加 文件 类 型 


图 单 击 “确定 ”按钮 ， 完 成 新 文件 组 的 创建 ， 如 图 6-22 所 示 。 
] 


图 6-22 服务 器 管理 器 窗口 
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第 6 章 文件 系统 安全 
2. 创建 屏蔽 模板 


屏蔽 模板 ， 定 义 文件 组 被 监控 以 及 监控 方式 ， 提 供 主动 屏蔽 和 被 动 屏蔽 两 种 模式 。 主 动 屏蔽 ， 将 屏蔽 
文件 组 中 定义 的 文件 类 型 关联 的 文件 ; 被 动 屏蔽 ， 仅 监控 文件 组 中 定义 的 文件 ， 但 不 限制 写 入 目标 文件 夹 。 
@ 在 “文件 服务 器 资源 管理 器 ”窗口 中 ， 展 开 如 图 6-23 所 示 的 “文件 屏蔽 模板 ”选项 。 文 件 服务 安 

装 完成 后 ， 默 认 已 经 预定 义 了 5 个 文件 屏蔽 模板 。 


图 6-23 “文件 屏蔽 模板 ”窗口 


@ 右 击 “ 文 件 屏蔽 模板 ”,， 选择 快捷 菜单 中 的 “创建 文件 屏蔽 模板 ”命令 , 显示 如 图 6-24 所 示 的 “ 创 
建文 件 屏 珊 模板 ”对 话 框 。 在 “模板 名 ”文本 框 中 ， 输 入 新 模板 的 名 称 ， 选 择 “ 主 动 屏 珊 ” 单 选 
按钮 ; 在 “选择 要 阻止 的 文件 组 ”列表 框 中 选择 需要 主动 屏蔽 的 文件 组 ， 本 例 中 选择 新 创建 的 “所 
有 文件 ”文件 组 。 

提示 : “主动 屏蔽 ”和 “被 动 屏蔽 ”的 主要 区 别 在 于 : “主动 屏蔽 ”屏蔽 符合 文件 组 设置 的 所 有 文件 ; 
“被 动 屏蔽 ”监控 用 户 保存 到 目标 文件 天 的 文件 ， 可 以 正常 写 入 ， 仅 提供 报警 功能 。 


图 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 6-25 所 示 的 “更 新 从 模板 派生 的 文件 屏蔽 ”对 话 框 ， 选 择 “ 仅 将 模 
板 应 用 于 与 原始 模板 匹配 的 派生 文件 屏蔽 ” 单 选 按钮 。 
图 单 击 “ 确 定 ”按钮 ， 完 成 屏蔽 模板 的 创建 ， 如 图 6-26 所 示 。 


3. 部 署 文 件 屏蔽 策略 
部 署 文件 屏蔽 策略 的 方法 很 简单 ， 选择 目标 文件 夹 后 ， 将 创建 的 文件 屏蔽 模板 绑 定 到 目标 文件 夹 即 可 。 
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图 6-24 “创建 文件 屏蔽 模板 ”对 话 框 图 6-25 “更 新 从 模板 派生 的 文件 屏 项” 对话 框 


根据 便 8 要 文人 网， 
二 秆 坂 属性. 


图 6-26 “文件 屏蔽 模板 ” 窗 格 


@ 在 “文件 服务 器 资源 管理 器 ”窗口 中 ， 右 击 “ 文 件 屏蔽 ”并 选择 快捷 菜单 中 的 “创建 文件 屏蔽 ” 


命令 ， 显 示 如 图 6-27 所 示 的 “创建 文件 屏蔽 ”对 话 框 。 


回 单 击 “ 浏 览 ”按钮 ， 显 示 如 图 6-28 所 示 的 “浏览 文件 夹 ”对 话 框 。 在 “选择 文件 夹 ”列表 框 中 ， 


选择 需要 保护 的 目标 文件 夹 。 


图 单 击 “ 确 定 ”按钮 ， 返 回 到 “创建 文件 屏蔽 ”对 话 框 。 在 “文件 屏蔽 属性 ”选项 区 域 的 “从 此 文 


件 屏蔽 模板 派生 属性 ”下 拉 列 表 框 中 ， 选 择 “ 阻 止 写 入 文本 文件 之 外 的 所 有 文件 ”选项 ， 在 “ 文 
件 屏蔽 属性 摘要 ”文本 框 中 即 可 显示 该 屏蔽 模板 的 详细 信息 ， 如 图 6-29 所 示 。 
单 击 “ 创 建 ”按钮 ， 创 建新 的 文件 屏蔽 策略 ， 创 建 完成 的 策略 如 图 6-30 所 示 。 
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图 6-28 “浏览 文件 夹 ”对 话 框 


图 6-29 “创建 文件 屏蔽 ”对 话 框 图 6-30 “文件 屏蔽 ” 窗 格 


4. 文件 屏蔽 测试 


此 时 文件 屏蔽 模板 的 内 容 是 :阻止 写 入 文本 文件 之 外 的 
所 有 文件 。 为 了 验证 设置 是 否 生效 ， 可 以 进行 如 下 试验 。 
@ 在 受 保护 的 目录 下 (本 例 中 为 D:\) 新 建 一 个 .docx 
文件 时 ， 显 示 如 图 6-31 所 示 的 “目标 文件 夹 访问 
被 拒绝 ”对 话 框 ，.docx 类 型 的 文档 不 能 被 创建 。 
@ 仍 在 该 目录 下 ， 新建 一 个 .txt 文件 时 ， 可 以 顺利 完 
成 ， 如 图 6-32 所 示 。 这 是 因为 屏蔽 文件 类 型 中 已 


经 排除 了 “*.txt” 文 件 。 图 6-31 “目标 文件 夹 访问 被 拒绝 ”对 话 框 


日 标 文件 夫 访 问 被 拒绝 


CIT 


© res 


BO Gh wee oi. = 画 [ 


六 作 四 “姑且 罗 ”下 在 加 工具 吕 帮 加 


图 6-32 ”创建 测试 文本 文件 


6.1.5 “文件 权限 审核 


审核 功能 可 以 跟踪 用 户 对 指定 对 象 的 详细 操作 ， 并 生成 可 供 管理 员 查 阅 的 事件 日 志 ， 提 供 查看 日 志 中 
安全 事件 的 方法 。 这 对 于 监视 非法 用 户 入 侵 以 及 危及 系统 数据 安全 性 的 尝试 是 非常 必要 的 。 通 常情 况 下 ， 
应 该 被 审核 的 最 普通 的 事件 类 型 包括 : 

里 ”访问 对 象 ， 例 如 文件 和 文件 夹 。 

于 “用户 和 组 账户 的 管理 员 。 

于 “用户 登 录 以 及 从 系统 注销 。 

1. 审核 策略 

完成 审核 之 前 ， 必 须 定 制 审核 策略 。 审 核 策 略 指定 了 要 审核 的 与 安全 有 关 的 事件 的 类 别 。 默 认 安 装 
Windows Server 2003/2008 系统 时 ， 将 关闭 所 有 审核 类 别 。 通 过 打开 各 种 审核 事件 类 别 ， 可 以 实现 符合 安 
全 需要 的 审核 策略 。 如 果 将 对 象 访问 的 审核 作为 审核 策略 的 一 部 分 ， 则 必须 打开 审核 目录 服务 访问 类 别 (为 
审核 域 控制 器 上 的 对 象 ] 或 审核 对 象 访问 类 别 ( 为 审核 成 员 服 务 器 上 的 对 象 ]。 

为 将 安全 威胁 的 风险 降 到 最 低 ， 可 以 采取 多 项 审核 的 操作 步骤 。 表 6-3 列 出 了 应 该 进行 审核 的 各 种 情 
况 ， 以 及 审核 事件 监视 的 特定 安全 危害 行为 。 


表 6-3 审核 事件 的 风险 


审核 事件 潜在 的 威胁 
黑客 肆意 盗 取 密码 


盗用 密码 进入 


登录 /注销 失败 审核 

登录 /注销 成 功 审核 

对 特权 的 使 用 、 用 户 和 组 管理 、 安 全 的 更 改 策 略 、 重 新 启动 、 关 机 和 系统 
事件 的 成 功 审核 

对 文件 访问 和 对 象 访问 事件 的 成 功 和 失败 的 审核 。 文 件 管理 员 对 可 疑 的 用 
户 或 组 对 敏感 性 文件 的 读 / 写 访问 进行 成 功 和 失败 的 审核 


滥用 特权 


对 敏感 性 文件 的 不 适当 访问 


[2201 


续 表 
审核 事件 
对 文件 访问 打印 机 和 对 象 访问 事件 的 成 功 和 失败 的 审核 。 打 印 管理 器 对 那 
些 由 可 疑 用 户 和 组 对 打印 机 的 访问 进行 成 功 和 失败 的 审核 
为 程序 文件 (扩展 名 为 .EXE 和 .DLL) 的 写 入 访问 进行 的 成 功 和 失败 审核 。 
成 功 和 失败 的 审核 追踪 过 程 。 执 行 可 疑 的 程序 ， 检 查 意外 修改 程序 文件 或 | 病毒 发 作 
创建 意外 进程 的 安全 日 志 。 仅 在 积极 监视 系统 日 志 时 运行 


2. 设置 审核 对 象 


每 个 对 象 都 带 有 一 组 安全 信息 或 安全 描述 符 。 安 全 描述 符 部 分 指定 了 可 以 访问 对 象 的 组 或 用 户 ， 以 及 
授予 这 些 组 或 对 象 的 访问 类 型 (权限 ]。 安 全 描述 符 中 的 这 一 部 分 称 为 自由 访问 控制 列表 (DACL)。 除了 包含 
权限 信息 外 ， 对 象 的 安全 描述 符 还 包括 审核 信息 。 审 核 信 息 被 称 为 系统 访问 控制 列表 (SACL)。SACL 特别 指 
定 了 以 下 操作 : 

”访问 对 象 时 要 审核 的 组 和 用 户 账户 。 

”对 于 每 个 组 或 用 户 需 要 审核 的 访问 事件 。 修 改 文件 就 是 个 访问 事件 的 例子 。 

”基于 对 象 的 DACL 中 授予 的 每 个 组 或 用 户 的 权限 的 每 个 访问 事件 的 成 功 或 失败 属性 。 

通常 情况 下 ， 可 被 审核 的 访问 类 型 决定 于 是 否 审核 对 文件 和 文件 夹 或 Active Directory 对 象 的 访问 。 可 
以 对 某 个 对 象 进行 审核 ， 并 且 通 过 继承 ， 审 核 可 以 应 用 到 任何 子 对 象 。 例 如 ， 如 果 要 审核 对 文件 夹 的 失败 
的 写 入 访问 ， 这 个 审核 事件 可 以 被 文件 夹 中 所 有 的 文件 继承 。 

3. 设置 审核 


管理 员 可 以 通过 设置 权限 类 型 将 审核 策略 应 用 于 目标 资源 上 ， 在 安全 日 志 中 记录 成 功 访问 或 失败 访问 
尝试 的 系统 事件 ， 便 于 管理 员 更 详细 地 了 解 用 户 对 目标 资源 的 访问 情况 。 对 文件 和 文件 夹 访 问 的 审核 ， 首 
先 要 求 目标 资源 必须 位 于 NTFS 分 区 上 ， 其 次 必须 为 对 象 访问 事件 设置 审核 策略 。 符 合 以 上 条 件 ， 即 可 对 
特定 的 文件 或 文件 夹 进 行 审核 ， 并 且 设 置 对 哪些 用 户 或 组 指定 哪些 类 型 的 访问 事件 进行 审核 。 
中 在 Windows 资源 管理 器 中 ， 右 击 test 文件 夹 并 选择 快捷 菜单 中 的 “属性 ”命令 ， 打 开 “test 届 
性 ”对 话 框 ， 切 换 到 如 图 6-33 所 示 的 “安全 ”选项 卡 。 
加 单 击 “ 高 级 ”按钮 ， 打开 “test 的 高 级 安全 设置 ” 对话 框 ， 切 换 到 “审核 ” 选项 卡 ， 显 示 如 图 6-34 
所 示 。 在 Windows Server 2008 系统 中 ， 默 认 值 是 查看 当前 的 审核 项 目 设置 情况 ， 而 在 Windows 
Server 2003 系统 中 ， 则 可 以 直接 更 改 。 
回 单 而“ 编辑” 按钮， 显示 如 图 6-35 所 示 的 对 话 框 ， 在 这 里 即 可 修改 当前 文件 夹 的 审核 项 目 ， 默 认 
情况 下 ，“ 审 核 项 目 ”列表 框 中 空白 ， 即 不 对 任何 对 象 和 操作 进行 审核 。 
@ 单 击 “ 添 加 ”按钮 ， 显示 如 图 6-36 所 示 的 “选择 用 户 或 组 ”对 话 框 ， 在 “输入 要 选择 的 对 象 名 称 ” 
文本 框 中 ， 输 入 希望 被 审核 的 用 户 账户 或 组 。 
回 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 6-37 所 示 的 对 话 框 ， 配 置 希望 审核 的 用 户 权限 ， 并 选中 “成 功 ” 或 
“失败 ” 复 选 框 ， 也 可 同时 选择 两 者 ， 主 要 用 于 设置 系统 审核 日 志 的 记录 条 件 。 例 如 ， 选 择 “ 读 
取 属 性 ”后 的 “成 功 ” 复 选 框 ， 则 系统 将 只 审核 用 户 账户 hstjl 读 取 目 标 资源 成 功 的 系统 事件 ， 而 
该 读 取 失败 的 尝试 或 其 他 账户 的 访问 均 不 会 被 审核 。 


潜在 的 威胁 


打印 机 的 不 适当 访问 
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图 6-33 “安全 ”选项 卡 图 6-34 “审核 ”选项 卡 
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图 6-36 “选择 用 户 或 组 ”对 话 框 图 6-37 “test 的 审核 项 目 ” 对 话 框 
连续 4 次 单 击 “确定 ”按钮 保存 设置 ， 完 成 审核 设置 。 重 复 上 述 操作 ， 可 以 设置 用 于 其 他 账户 或 
操作 权限 的 审核 。 
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6.2 权限 管理 服务 


威胁 文件 安全 的 主要 因素 往往 来 自 内 部 用 户 ， 而 普通 的 访问 权限 限定 很 难 做 到 万 无 一 失 。Windows 
Server 2008 系统 中 的 AD RMS(Rights Management Services， 权 限 管 理 服务 ] 可 以 通过 数字 证 书 和 用 户 身 份 
验证 技术 对 各 种 0ffice 文档 的 访问 权限 加 以 限制 ， 可 以 有 效 防止 内 部 用 户 通 过 各 种 途径 擅自 泄漏 机 密 文 档 
内 容 ， 从 而 确保 了 数据 文件 访问 的 安全 性 。 


6.2.1 安装 AD RMS 前 的 准备 


相对 于 先前 的 RMS 而 言 ，AD RMS 不 再 是 一 个 独立 服务 插件 ， 它 已 经 成 为 Windows 的 一 项 内 建功 能 ， 
并 且 包 含 了 某 些 升级 功能 ， 可 以 直接 在 管理 服务 器 窗口 中 启动 安装 向 导 并 轻松 安装 。 为 了 确保 安装 过 程 可 
以 顺利 进行 ， 开 始 之 前 应 做 好 如 下 准备 工作 : 
将 计算 机 加 入 到 域 ， 或 者 提升 为 域 的 额外 域 控制 器 ， 或 者 子 域 。 
使 用 具有 域 用 户 账户 登录 ， 但 不 能 使 用 Administrator 账户 登录 。 
安装 IIS 服务 和 ASP.Net 组件 。 
安装 MSMQ( 消 息 队 列 ) 服 务 。 
选择 数据 库 。 如 果 要 使 用 独立 数据 库 ， 需 安装 SQL Server。 否 则 ， 可 使 用 AD RMS 的 自 带 数据 库 。 
安装 之 前 ， 确 认 http://uddi.microsoft.com 和 https://uddi.microsoftcom 在 Internet Explorer 中 
被 添加 至 “受信 任 的 站 点 ”或 “本 地 Internet”。 


6.2.2 安装 AD RMS 服务 器 


AD RMS 服务 并 不 是 Windows Server 2008 系统 默认 安装 的 组 件 ， 需 要 用 户 手动 添加 。 完 成 必要 的 准 
备 工 作 后 ， 即 可 开始 安装 AD RMS 服务 器 。 另 外 ， 用 户 也 可 以 直接 安装 AD RMS 服务 器 ， 如 果 安 装 向 导 检 
测 到 未 安装 的 组 件 ， 则 会 提示 用 户 ， 此 时 通过 选择 相关 选项 即 可 一 并 完成 准备 组 件 的 部 署 。 
@ 以 具有 管理 员 权限 的 用 户 账户 登录 到 目标 服务 器 ， 在 “服务 器 管理 器 ”窗口 中 ， 依 次 选择 “角色 ” 
一 “添加 角色 ”选项 ， 显 示 如 图 6-38 所 示 的 “选择 服务 器 角色 ”界面 。 
加 选中 Active Directory Rights Management Services 复 选 框 ， 显 示 如 图 6-39 所 示 的 对 话 框 , 提示 是 
否 添加 所 需 的 角色 服务 和 功能 。 如 果 在 此 之 前 ， 已 经 完成 各 项 准备 工作 ， 则 不 会 显示 该 对 话 框 。 
@ 单 击 “ 添 加 必需 的 角色 服务 ”按钮 ， 返 回 如 图 6-40 所 示 的 界面 ， 选 中 Active Directory Rights 
Management Services 复 选 框 。 


SG 提示 : 不 能 使 用 Administrator 用 户 账户 登录 ， 否 则 就 会 显示 如 图 6-41 所 示 的 警告 框 ， 提 示 无 法 安装 。 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 6-42 所 示 的 Active Directory Rights Management Services 界面 。 
该 界面 简要 介绍 了 Active Directory 权限 管理 服务 的 作用 以 及 功能 。 


[223 1 


rr 所 的 
re 


Si 


图 6-39 添加 所 需 的 角色 服务 和 功能 
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图 6-40 “选择 服务 器 角色 ”界面 图 6-41 提示 更 改 登录 账户 
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图 6-42 Active Directory Rights Management Services 界面 
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回 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 6-43 所 示 的 “选择 角色 服务 ”界面 。 如 果 选 中 “联合 身份 验证 支 
持 ” 复 选 框 ， 将 同时 安装 AD FS 或 与 当前 域 中 己 有 的 AD FS 关联 使 用 ， 它 允许 用 户 使 用 当前 域 和 
其 他 域 之 间 经 过 联合 身份 验证 的 信任 关系 来 建立 用 户 标识 ， 以 及 提供 对 其 他 组 织 创建 的 受 保护 信 
息 的 访问 权限 。 不 需要 联合 身份 验证 的 用 户 建议 不 要 选中 该 复 选 框 。 


图 6-43 “选择 角色 服务 ”界面 


单 击 “ 下 一 步 ” 按 钮 ， 显示 如 图 6-44 所 示 的 “创建 或 加 入 AD RMS 群集 ” 界面。 系统 默认 选择 “新 
建 AD RMS 群集 ” 单 选 按钮 ， 由 于 当前 域 中 没有 其 他 AD RMS 群集 可 供 加 入 ， 所 以 “加 入 现 有 AD 
RMS 群集 ” 单 选 按 钮 为 灰色 。 安 装 完成 后 创建 的 第 一 台 AD RMS 服务 器 即 为 根 群 集 ， 后 来 加 入 的 
AD RMS 服务 器 为 叶 服 务 器 。 


图 6-44 “创建 或 加 入 AD RMS 群集 ”界面 
@ 单 击 * 下 一 步 ? 按 钮 , 显示 如 图 6-45 所 示 的 “选择 配置 数据 库 界 面 。 如 果 网 络 中 安装 有 SQL Server 
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服务 器 ， 可 选择 “使 用 其 他 数据 库 服务 器 ” 单 选 按钮 ; 如 果 要 使 用 AD RMS 自 带 的 数据 库 ， 选 择 
“在 此 服务 器 上 使 用 Windows 内 部 数据 库 ” 单 选 按钮 即 可 。 


图 6-45 “选择 配置 数据 库 ” 界 面 


© 注意 ; 选择 支持 AD RMS 群集 的 专用 数据 库 时 应 注意 记录 其 数据 库 实例 ， 其 他 AD RMS 服务 器 加 入 群集 
时 也 必须 指定 相同 的 实例 名 称 。 


单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 6-46 所 示 的 “指定 服务 账户 ”界面 。 该 服务 账户 也 就 是 将 来 要 在 
AD RMS 群集 中 使 用 的 账户 ， 可 使 用 普通 域 成 员 账户 ， 但 必须 区 别 于 当前 服务 器 登录 的 域 用 户 账 
户 。 单 击 “ 指 定 ”按钮 ， 显 示 “Windows 安全 ”对 话 框 ， 输 入 域 用 户 账户 。 单 击 “确定 ”按钮 ， 
域 控制 器 会 对 提交 的 用 户 账户 和 密码 进行 验证 ， 如 果 正 确 无 误 则 返回 “指定 服务 账户 ”界面 。 


图 6-46 “指定 服务 账户 ”界面 
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单 击 “ 下 一 步 按钮 ， 显 示 如 图 6-47 所 示 的 “配置 AD RMS 群集 键 存储 ”界面 。 系统 默认 选择 “使 
用 AD RMS 集中 管理 的 密 钥 存储 ” 单 选 按钮 ， 即 由 本 地 服务 器 自动 生成 并 存储 密 钥 ， 这 里 选择 该 
项 。 该 密 钥 主要 用 于 当前 根 服务 器 以 及 将 来 叶 服 务 器 的 灾难 恢复 ， 必 须 牢 记 。 选 择 “ 使 用 CSP 密 
钥 存储 ” 单 选 按钮 ， 则 需要 由 专用 加 密 服 务 器 产生 并 保管 该 密 铀 ， 比 较 繁琐 ， 但 安全 性 也 相对 
较 高 。 


图 6-47 “配置 AD RMS 群集 键 存储 ”界面 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 6-48 所 示 的 “指定 AD RMS 群集 密 钥 密码 ”界面 ， 其 他 AD RMS 
服务 器 加 入 群集 时 也 要 使 用 此 密码 ， 必 须 妥善 保存 。 


加 角色 向 


图 6-48 “指定 AD RMS 群集 密 钥 密码 ”界面 


@@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 6-49 所 示 的 “选择 AD RMS 群集 网 站 ”界面 ， 即 管理 AD RMS 群 
集 服务 器 时 使 用 的 站 点 ， 准 备 工作 中 必须 安装 IIS 就 是 为 了 在 本 地 创建 该 站 点 ， 保 持 默认 即 可 。 
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图 6-49 “选择 AD RMS 群集 网 站 ”界面 


名 单 击 “ 下 一 步 ”按钮 显示 如 图 6-50 所 示 的 “指定 群集 地 址 ”界面 。 群 集 地 址 可 以 使 AD RMS 客 


户 端 通过 网 络 与 群集 通信 。 选 择 “ 使 用 SSL 加 密 的 连接 ” 单 选 按钮 ， 将 使 用 SSL 加 密 ， 客 户 端 只 
有 得 到 并 安装 服务 器 颁发 的 数字 证 书后 才能 建立 连接 。 在 “完全 限定 的 域名 ”文本 框 中 输入 想 要 
使 用 的 域名 ， 如 https://adrms:443 等 。SSL 加 密 连接 使 用 的 默认 传输 端口 是 443， 客 户 端 访问 时 
也 必须 使 用 完整 域名 。 选 择 “ 使 用 未 加 密 的 连接 ” 单 选 按钮 ， 则 使 用 普通 传输 方式 ， 输 入 域名 ， 
并 单 击 “ 验 证 ”按钮 ， 确 认 不 与 其 他 站 点 冲突 。 
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图 6-50 “指定 群集 地 址 ”界面 


© 注意 : 自 定义 端口 也 可 以 提升 网 络 连接 的 安全 性 ， 不 过 ， 客 户 端 访问 时 也 必须 使 用 相同 的 端口 。 
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提示 : 如 果 选择 “使 用 SSL 加 密 的 连接 ” 单 选 按钮 ， 则 还 需要 选择 希望 用 于 SSL 加 密 的 数字 证 书 ， 可 以 
来 自 网 络 中 的 CA， 也 可 以 使 用 自 签名 证 书 ， 这 里 不 做 详细 介绍 。 


@ 单 击 “ 下 一 步 ” 按钮， 显示 如 图 6-51 所 示 的 “命名 服务 器 许可 方 证 书 ” 界 面 ， 系 统 默认 会 以 计算 
机 名 命名 证 书 ， 保 持 默认 即 可 。 


图 6-51 “命名 服务 器 许可 方 证 书 ” 界 面 


久 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 6-52 所 示 的 “注册 AD RMS 服务 连接 点 ”界面 。 选 择 “ 立 即 注册 
AD RMS 服务 连接 点 ” 单 选 按钮 ， 在 安装 完成 后 立即 开始 使 用 此 AD RMS 群集 。 
过 | 
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图 6-52 “注册 AD RMS 服务 连接 点 ”界面 
加 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 IIS 的 安装 对 话 框 。 这 里 不 青 袭 述 。 在 “确认 安装 选择 ”界面 中 ， 
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显示 了 要 安装 的 组 件 信息 ， 如 图 6-53 所 示 。 
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图 6-53 “确认 安装 选择 ”界面 


办 单 击 “ 安 装 ”按钮 即 可 开始 安装 。 安 装 完成 后 显示 如 图 6-54 所 示 的 “安装 结果 ”界面 ， 提 示 安 装 
成 功 。 


图 6-54 “安装 结果 ”对 话 框 
外 单 击 “ 关 闭 ” 按 钮 ， 退 出 安装 向 导 。 根 据 提示 信息 ， 注 销 当前 系统 并 重新 登录 。 


6.2.3 配置 AD RMS 服务 器 


AD RMS 采用 MMC 控制 台 管理 的 方式 ， 提 供 权限 管理 服务 之 前 必须 进行 简单 配置 ， 如 创建 信任 策略 、 
权限 模板 等 。 依 次 选择 “开始 ”一 “管理 工具 ”一 Active Directory Rights Management Services 选项 ， 启 
动 AD RMS 控制 台 , 如 图 6-55 所 示 。 如果 选择 SSL 加 密 连接 的 方式 , 则 在 此 过 程 中 可 能 会 出 现 “ 安 全 警报 ” 
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提示 框 ， 直 接 单 击 “ 是 ”按钮 跳 过 即 可 。 


rr 
交尾 四 所 
名 中 过目 
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图 6-55 AD RMS 控制 台 
1. 配置 信任 策略 


信任 策略 是 不 同 AD RMS 群集 或 不 同 域 林 中 的 AD RMS 服务 器 之 间 建 立信 任 关 系 的 唯一 标准 ， 主 要 包 
括 “ 受 信任 的 用 户 域 ”和 “受信 任 的 发 布 域 ”。 

(了) 受信 任 的 用 户 域 

默认 情况 下 , 只 有 受信 任 的 用 户 域 才 可 以 使 用 当前 AD RMS 服务 器 提供 的 权限 保护 服务 , 不 同 AD RMS 
群集 或 不 同 林 中 的 RMS 服务 器 都 是 通过 彼此 的 许可 证 书 识别 的 。 用 户 可 以 通过 将 其 他 AD RMS 群集 中 的 信 
任用 户 域 导 出 ， 并 添加 至 本 地 服务 器 中 ， 来 实现 对 其 他 用 户 提供 权限 管理 服务 。 导 出 的 信任 用 户 域 文 件 中 
会 包括 原 AD RMS 服务 器 的 许可 证 信息 ， 因 此 建立 信任 关系 后 ， 来 自 该 域 的 用 户 就 可 以 使 用 当前 AD RMS 
服务 器 提供 的 使 用 许可 证 。 

@ 在 AD RMS 控制 台 窗 口中 ， 依 次 选择 “信任 策略 ”一 “受信 任 的 用 户 域 ”选项 ， 显 示 如 图 6-56 所 
示 的 “受信 任 的 用 户 域 ” 窗 格 。 在 “受信 任 的 用 户 域 信息 ”列表 框 中 默认 显示 的 是 本 地 用 户 域 ， 
右 击 并 选择 快捷 菜单 中 的 “属性 ”命令 即 可 查看 其 详细 信息 。 

@ 在 右 侧 的 “操作 ” 栏 中 ， 单 击 “ 导 入 受信 任 的 用 户 域 ”链接 ， 显 示 如 图 6-57 所 示 的 “导入 受信 任 
的 用 户 域 ”对 话 框 ， 在 “受信 任 的 用 户 域 文件 ”文本 框 中 输入 文件 的 保存 路 径 ， 或 单 击 “ 浏 览 ” 
按钮 选择 ， 在 “显示 名 称 ” 文 本 框 中 ， 输 入 该 用 户 将 在 列表 中 显示 的 名 称 ， 用 来 进行 标识 。 

@ 单 击 “ 完 成 ”按钮 ， 即 可 完成 用 于 域 的 添加 。 重 复 操作 ， 可 添加 多 个 受信 任 的 用 户 域 。 


提示 : 在 “受信 任 的 用 户 域 信 息 ” 列 表 框 中 ， 右 击 域 并 选择 快捷 菜单 中 的 “导出 受信 任 的 用 户 域 ”命令 ， 


“还 可 以 将 其 导出 ， 以 备 本 地 恢复 使 用 ， 也 可 以 导入 到 其 他 AD RMS 群集 中 ， 用 于 接受 其 他 AD RMS 服务 
器 的 权限 许可 证 。 
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图 6-57 导入 受信 任 的 用 户 域 


(2] 受信 任 的 发 布 域 
在 AD RMS 控制 台 窗 口中 , 单 击 “ 受 信任 的 发 布 域 ”显示 如 图 6-58 所 示 的 “受信 任 的 发 布 域 信息 ”窗口 。 


受信 任 的 发 布 域 用 于 定义 哪些 AD RMS 群集 发 布 的 许可 证 受到 此 群集 的 信任 ， 与 受信 任 的 用 户 域 恰恰 
相反 ， 列 表 中 默认 存在 的 是 本 地 服务 器 的 记录 。 受 信任 的 发 布 域 文 件 的 导出 和 导入 与 受信 任 的 用 户 域 文 件 类 
似 ， 不 同 的 是 发 布 域 文 件 的 类 型 为 XML， 其 中 包括 将 要 信任 的 AD RMS 服务 器 许可 方 证 书 、 群 集 密 钥 和 模板 
等 信息 。 另 外 ， 发 布 域 文 件 本 身 是 受 密码 保护 的 ， 导 入 时 必须 输入 原 AD RMS 服务 器 上 使 用 的 存储 密码 。 


2. 配置 权限 策略 模板 
(CD 创建 权限 策略 模板 
机 密 程度 不 同 的 文档 发 布 到 客户 端 后 设置 的 权限 也 有 所 不 同 ， 此 时 就 需要 为 该 文档 应 用 不 同 级 别 权限 
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的 策略 模板 。 权 限 策略 模板 是 为 定义 用 户 的 权限 策略 用 的 ， 管 理 员 可 以 通过 定制 一 些 现成 的 策略 模板 让 企 
业 用 户 直 接 调 用 。 


图 6-58 受信 任 的 发 布 域 


@ 在 “AD RMS 控制 台 ” 窗 口中 ， 单 击 “ 权 限 策略 模板 ”显示 如 图 6-59 所 示 的 “分 布 式 权限 策略 模 
板 ” 窗 格 。 


图 6-59 “分 布 式 权限 策略 模板 ” 窗 格 


回 单 击 “ 操 作 ” 栏 中 的 “创建 分 布 式 权限 策略 模板 ”链接 ， 启 动 创建 向 导 ， 首 先 显示 如 图 6-60 所 示 
的 “添加 模板 标识 信息 ”界面 。 

回 单 击 “ 添 加 ”按钮 ， 显 示 如 图 6-61 所 示 的 “添加 新 的 模板 标识 信息 ”对 话 框 。 在 “名 称 ” 文 本 框 
中 输入 新 建 模板 的 名 称 ， 在 “描述 ”列表 框 中 输入 相关 描述 信息 。 单 击 “ 添 加 ”按钮 ， 将 其 添加 
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至 “模板 标识 ”列表 框 中 。 
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图 6-60 “添加 模板 标识 信息 ”界面 图 6-61 “添加 新 的 模板 标识 信息 ”对 话 框 


| 提示 : “语言 ”下 拉 列表 框 是 专 为 使 用 不 同 语言 的 客户 端 设置 的 ， 如 果 客 户 端 只 支持 英文 显示 ， 则 可 以 
在 “添加 模板 标识 信息 ”界面 中 再 次 单 击 “添加 ”按钮 ， 并 选择 “英文 ”语言 即 可 。 需 要 注意 的 是 ， 要 
想 使 选择 的 语言 生效 ， 必 须 先 在 服务 器 上 安装 该 语言 。 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 6-62 所 示 的 “添加 用 户 权限 ”对 话 框 ， 默 认 情况 下 “用 户 和 权限 ” 
列表 框 是 空 的 ， 即 只 有 “授予 所 有 者 不 会 过 期 的 完全 控制 权限 ”， 其 他 用 户 账户 没有 任何 权限 。 


a 国 


图 6-62 “添加 用 户 权限 ”界面 


图 单 击 “ 添 加 ”按钮 ， 显 示 如 图 6-63 所 示 的 “添加 用 户 或 组 ”对 话 框 。 选 择 “ 用 户 或 组 的 电子 邮件 
地 址 ” 单 选 按钮 ， 即 可 在 下 面 的 文本 框 中 输入 用 户 对 应 电子 邮件 地 址 ， 也 可 以 单 击 “ 浏 览 ”按钮 ， 
打开 “选择 用 户 或 组 ”对 话 框 ， 直 接 从 当前 域 控制 器 中 查找 添加 。 如 果 选 择 “任何 人 ” 单 选 按钮 ， 
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则 对 当前 域 中 的 所 有 用 户 账 户 有 效 。 


© 注意 :如 果 要 添加 用 户 ， 应 事先 在 域 控制 器 上 ， 打 开 用 户 属性 对 话 框 ， 为 用 户 添加 电子 邮件 地 址 ， 如 
图 6-64 所 示 。 同样 ， 如 果 要 添加 用 户 组 ， 也 要 打开 用 户 组 属性 ， 添 加 电子 邮件 地 址 。 
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图 6-63 “添加 用 户 或 组 ”对 话 框 图 6-64 添加 用 户 电子 邮件 


单 击 “ 确 定 ” 按 钮 ， 将 所 选用 户 添加 至 列表 框 中 ， 如 图 6-65 所 示 。 重 复 操 作 ， 可 添加 多 个 用 户 或 
组 的 电子 邮件 地 址 。 然 后 ， 在 “用 户 和 权限 ”列表 框 中 ， 选 择 赋予 用 户 的 权限 ， 例 如 ， 要 求 做 到 
“禁止 复制 ”， 则 只 选中 “查看 ” 复 选 框 即 可 。 


图 6-65 指定 用 户 权限 


“权限 请 求 URL” 是 当 模 板 赋予 用 户 的 权限 无 法 完成 相应 工作 ， 或 在 模板 权限 规定 的 时 间 和 日 期 内 没 
有 完成 工作 时 ， 用 户 可 以 通过 此 URL 继续 向 管理 员 发 出 权限 请 求 ， 以 再 次 获得 权限 或 附加 权限 。 


© 注意 : 权限 列表 框 中 给 出 的 所 有 权限 都 是 允许 的 ， 即 只 要 选中 某 项 ， 就 表示 要 赋 子 用户 具有 相应 的 权限 。 
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@ 单 击 “ 下 一 步 ”按钮 显示 如 图 6-66 所 示 的 “指定 过 期 策略 ”界面 。 在 “内 容 有 效 期 限 ” 选 项 区 
域 中 ， 可 以 定义 当前 模板 中 的 权限 信息 何 时 过 期 或 有 效 期 限 等 ， 默 认为 “ 永 不 过 期 ”。 内 容 过 期 
后 ， 如 果 仍 需要 使 用 该 策略 信息 ， 则 必须 重新 发 布 一 次 。 


图 6-66 “指定 过 期 策略 ”界面 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 6-67 所 示 的 “指定 扩展 策略 ”界面 。 

虽 ” “使 用 户 能 够 使 用 浏览 器 加 载 项 查看 受 保护 的 内 容 ”: 该 项 对 于 没有 安装 0ffice 的 客户 端 是 非常 
实用 的 ， 只 需 安装 相关 插件 即 可 在 浏览 器 中 查看 受 RMS 保护 的 Office 文档 ， 建 议 选择 该 项 。 

时““ 每 次 使 用 内 容 时 需要 更 新 使 用 许可 证 (禁用 客户 端 缓存 } ”: 该 项 虽然 可 以 使 被 保护 文档 更 安全 ， 
但 客户 端 每 次 使 用 时 就 会 非常 繁琐 。 

时 ““ 如 果 您 要 为 启用 AD RMS 的 应 用 程序 指定 其 他 信息 ， 则 可 以 在 此 处 以 名 称 - 值 对 的 形式 指定 ”: 
选中 该 复 选 框 ， 可 在 下 面 的 列表 中 添加 特定 应 用 程序 需要 的 名 称 和 权限 值 ， 普 通用 户 无 需 设 置 。 


图 6-67 “指定 扩展 策略 ”界面 
单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 6-68 所 示 的 “指定 吊销 策略 ”界面 。 吊 销 是 AD RMS 的 一 项 重要 
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功能 ， 实 施 吊销 之 前 必须 先 手动 创建 一 个 吊销 列表 ， 并 为 每 个 吊销 列表 生成 一 个 公 钥 / 私 钥 对 ， 然 
后 使 用 私 钥 签署 吊销 列表 ; 另外 ， 还 必须 为 吊销 列表 指定 一 个 用 户 可 以 访问 的 URL 地 址 或 UNC 
路 径 。 通 常情 况 下 ， 不 需要 AD RMS 服务 器 吊销 ， 即 不 选中 该 复 选 框 。 


图 6-68 “指定 吊销 策略 ”界面 


单 击 “ 完 成 ”按钮 ， 退 出 创建 向 导 ， 返 回 权限 策略 模板 窗口 ， 如 图 6-69 所 示 。 新 创建 的 模板 已 经 
出 现在 列表 框 中 ， 此 时 虽然 已 经 创建 成 功 ， 但 并 不 能 立即 应 用 。 


etive ht 布 蓉 苞 懂 书 [一 
体 地 ) | 
四 | 世 建 、 坦 看 和 修改 此 帮 焦 的 分 布 式 第 睹 模板 。 


图 6-69 权限 策略 模板 创建 成 功 


@ 选择 新 创建 的 策略 模板 ， 右 击 并 选择 快捷 菜单 中 的 “存档 此 分 布 式 权限 策略 模板 ”命令 ， 将 其 本 
地 存档 ， 显 示 如 图 6-70 所 示 的 “存档 权限 策略 模板 ”对 话 框 。 提 示 一 旦 保存 后 ， 将 不 能 再 分 发 或 
导出 该 模板 。 单 击 “ 是 ”按钮 保存 即 可 。 至 此 ， 新 创建 的 权限 策略 模板 才 可 以 保存 到 本 地 模板 库 
中 备用 。 
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四 二 


中 返回“ 分布 式 权限 策略 模板 ”窗口 ， 单 击 “ 管 理 存档 的 权限 策略 模板 ”链接 ， 所 有 已 存档 的 策略 
模板 即 可 显示 在 “公布 式 权限 策略 模板 ”列表 框 中 , 管理 员 可 以 继续 修改 和 查看 其 各 项 属性 信息 。 
如 图 6-71 所 示 是 新 建筑 略 模板 的 权限 摘要 。 
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图 6-70 “存档 权限 策略 模板 ”对 话 框 图 6-71 用 户 权限 摘要 


(2] 分 发 权限 策略 模板 
客户 端 必 须 将 服务 器 上 创建 的 权限 策略 模板 保存 到 本 地 计算 机 才 可 以 使 用 ， 可 以 通过 文件 共享 、 网 络 
传输 、 移 动 存储 介质 等 方式 获得 。 默 认 情 况 下 ， 权 限 策 略 模板 的 保存 位 置 为 “未 设置 ”。 为 了 便于 保存 和 
用 户 使 用 ， 应 在 群集 中 指定 一 个 公共 文件 夹 ， 用 于 保存 所 有 的 策略 模板 。 
@ 在 图 6-69 权限 策略 模板 窗口 中 ， 单 击 “操作 ” 栏 中 的 “管理 分 布 式 权限 策略 模板 ”链接 ， 在 “分 
布 式 权限 策略 模板 ” 窗 格 下 方 单 击 “ 更 改 分 布 式 权限 策略 模板 文件 位 置 ”链接 ， 打 开 如 图 6-72 所 
示 的 “权限 策略 模板 ”对 话 框 。 
@ ”选中 “启用 导出 ” 复 选 框 ， 在 “指定 模板 文件 位 置 ”文本 框 中 输入 已 经 设置 好 的 共享 文件 夹 路 径 ， 
如 图 6-73 所 示 。 注 意 ， 这 里 必须 使 用 UNC 格式 ， 并且 确定 已 经 为 指定 用 户 账户 赋予 了 写 入 权限 。 
3 2 
i 


当前 模 上 祥 件 位 置 0n 


三 到 Sb 
ne) E): | 


和 模板 六 全 位 置 


图 6-72 “权限 策略 模板 ”对 话 框 图 6-73 设置 共享 文件 夹 路 径 
@” 设 置 完成 后 单 击 “ 确 定 ”按钮 。 然 后 ， 单 击 “ 管 理 存档 的 
权限 策略 模板 ”链接 ， 选 择 想 要 分 发 的 模板 ， 右 击 并 选择 


快捷 菜单 中 的 “分 发 此 权限 策略 模板 ”命令 , 显示 如 图 674 。 巍 关 人 9 

所 示 的 “分 发 权限 策略 模板 ”对 话 框 。 提 示 分 发 之 后 ， 用 

户 便 可 以 使 用 此 模板 发 布 新 内 容 了 。 | 
@ 单 击 “ 是 ”按钮 确认 即 可 。 图 6-74 分 发 权限 策略 模板 


是 四 
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提示 : 如 果 模 板 是 从 另 一 台 RMS 服务 器 迁移 到 此 RMS 服务 器 ， 在 使 用 该 模板 之 前 ， 必 须 由 此 服务 器 签 
” 署 ， 然 后 重新 分 发 到 客户 端 . 


(3] 撤销 权限 策略 模板 

当 某 个 权限 策略 模板 不 再 适用 时 ， 可 以 将 其 删除 。 删 除权 限 策略 模板 时 ， 同 时 应 删除 用 户 计算 机 上 的 
该 模板 ， 以 便 用 户 试图 使 用 由 已 撤销 的 权限 策略 模板 发 布 的 内 容 时 不 会 出 现 问题 。 当 作者 使 用 权限 策略 模 
板 发 布 内 容 时 , 该 发 布 请 求 将 被 发 送 到 RMS 服务 器 。 RMS 将 使 用 数据 库 中 存储 的 该 权限 策略 模板 的 副本 来 
响应 该 请 求 。 如 果 数 据 库 中 不 存在 该 权限 策略 模板 ， 请 求 将 失败 。 

(多 备份 和 恢复 权限 策略 模板 

要 保护 重要 的 权限 策略 模板 ， 可 以 将 配置 数据 库 中 的 模板 数据 定期 备份 到 媒体 中 ， 并 将 该 媒体 存放 到 
安全 的 地 方 。 这 样 ， 当 系统 发 生 故 障 时， 管理 员 就 可 以 使 用 备份 的 副本 来 恢复 权限 策略 模板 。 


3. 配置 权限 账户 证 书 策略 


权限 账户 证 书 (RAC) 是 AD RMS 服务 器 颁发 给 每 个 客户 的 认证 凭证 , 该 证 书 将 用 户 账户 与 一 个 受 保护 的 
密 钥 对 关联 ， 而 密 钥 对 则 专用 于 用 户 的 计算 机 。 用 户 可 以 通过 这 些 证 书 来 发 布 和 使 用 受 AD RMS 保护 的 内 
容 。 每 个 证 书 都 包含 一 个 公 钥 ， 以 向 用 户 授予 使 用 相关 信息 的 权限 。 

在 “AD RMS 控制 台 ” 窗 口中 ， 在 左 侧 窗 格 中 单 击 “权限 账户 证 书 策略 ”， 显 示 如 图 6-75 所 示 的 “ 权 
限 账 户 证 书 策略 ” 窗 格 。 权 限 账户 证 书 根据 有 效 期 的 长 短 和 应 用 环境 的 不 同 , 可 分 为 标准 RAC 和 临时 RAC。 
标准 RAC 的 默认 有 效 期 限 是 365 天 ,通常 应 用 于 固定 用 户 的 计算 机 上 ; 临时 RAC 的 默认 有 效 期 限 为 15 分 
钟 ， 主 要 是 为 了 方便 用 户 在 不 同位 置 都 可 以 使 用 受 AD RMS 保护 的 文档 。 
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图 6-75 “权限 账户 证 书 策略 ” 窗 格 


权限 账户 证 书 的 有 效 期 限 可 以 根据 实际 需要 更 改 。 单 击 “ 更 改 标准 RAC 有 效 期 ”链接 ， 显 示 如 图 6-76 
所 示 的 “权限 账户 证 书 策略 ”对 话 框 ， 在 “标准 RAC 的 有 效 期 (天 ] ”微调 框 中 输入 合适 数值 即 可 ， 有 效 期 
的 范围 是 1 一 9999 天 。 
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切换 到 “临时 RAC” 选 项 卡 , 或 者 在 “权限 账户 证 书 策略 ” 窗 格 中 单 击 “ 更 改 临时 RAC 有 效 期 ” 链接， 
也 可 以 更 改 临时 RAC 的 有 效 期 ， 如 图 6-77 所 示 。 


图 6-76 “权限 账户 证 书 策略 ”对 话 杠 图 6-77 “临时 RAC” 选 项 卡 


6.2.4 AD RMS 客户 端 部 署 及 应 用 


AD RMS 服务 安装 并 配置 完成 以 后 ， 即 可 将 需要 接受 AD RMS 管理 的 客户 端 加 入 域 ， 并 部 署 AD RMS 
客户 端 。 在 Windows Vista 系统 中 ，RMS 客户 端的 名 称 已 更 改 为 Active Directory 权限 管理 服务 (AD RMS) 
客户 端 ， 并 且 已 集成 到 操作 系统 中 ， 因 此 不 需要 独立 的 安装 。 在 早 于 Windows Vista 的 Windows 操作 系统 
版 本 中 ，RMS 客户 端 组 件 仍 需要 独立 下 载 和 安装 。 目 前 最 新 版 本 SP2 简体 中 文 版 下 载 地 址 为 : 


http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=02da5107-2 
919-414b-a5a3-3102c7447838 


| 提示: 管理 员 还 可 以 通过 组 策略 、SMS、SCCM 等 方式 来 向 客户 端 统一 分 发 客户 端 安装 程序 。 如 果 客户 
端 数量 较 少 ， 则 可 以 通过 手动 安装 的 方式 实现 。 


1. 在 Windows 2000/XP 系统 中 安装 RMS 客户 端 


AD RMS 客户 端 安装 过 程 非常 简单 ， 此 处 不 作 详细 介绍 。 需 要 注意 的 是 ， 更 换 登 录 的 域 用 户 账户 后 ， 
应 重新 运行 客户 端 安装 向 导 ， 并 选择 “修复 带 Service Pack 2 的 Windows Rights Management 客户 端 ” 单 
选 按钮 。 客 户 端 需要 将 服务 器 上 创建 并 保存 的 权限 策略 模板 拷贝 到 自己 的 计算 机 上 才 可 以 使 用 ， 另 外 还 需 
要 在 注册 表 中 做 相应 修改 。 
Q@ 通过 网 络 共享 或 移动 存储 设备 ,将 AD RMS 服务 器 上 存储 的 权限 策略 模板 ， 复 制 到 本 地 计算 机 上 ， 
如 图 6-78 所 示 。 
加 ”打开 注册 表 编 辑 器 ， 并 依次 展开 如 下 分 支 : 


HKEY_ CURRENT USER\Software\Microsoft\Office\11.0\Common\DRM 


在 右 侧 窗口 空白 处 右 击 ， 依 次 选择 “新 建 ” 一 “字符 串 值 ”命令 ， 新 建 一 个 字符 串 值 项 目 ( 如 图 6-79 
所 示 )。 
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ET 


[i Aebod 区 zx | 国 - 


图 6-79 创建 字符 串 值 对 象 


@ 将 新 创建 的 字符 串 值 命名 为 “AdminTemplatePath”， 然 后 双击 该 对 象 或 右 击 选择 “修改 ”命令 
打开 如 图 6-80 所 示 的 “编辑 字符 串 ” 对 话 框 ， 指 定 该 对 象 的 数值 数据 为 本 地 计算 机 上 保存 要 应 用 
的 权限 策略 模板 的 路 径 。 这 里 ， 将 要 保存 在 E 盘 根 目录 下 ， 因 此 ， 输 入 “e:\” 即 可 。 
| 回回 男 | 


图 6-80 ”编辑 字符 串 值 
图 单 击 “ 确 定 ” 按 钮 保存 设置 并 关闭 注册 表 编辑 器 窗口 。 打 开 欲 应 用 此 策略 模板 的 受 保护 文档 ， 打 
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开 “ 文 件 ” 菜 单 中 的 “权限 ” 子 菜单 ， 此 时 , 会 发 现 级 联 菜单 中 多 出 了 一 个 命令 ， 即 “禁止 拷贝 ”， 
如 图 6-81 所 示 。 
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图 6-81 添加 成 功 


回 ” 选 定 相应 策略 模板 后 ， 共 享 工作 区 中 会 显示 如 图 6-82 所 示 的 “ 受 限 权限 ”等 信息 。 授 权 人 信息 默 
认 是 本 地 登录 账户 ， 当 然 ， 管 理 员 也 可 以 在 建立 到 服务 器 的 连接 时 指定 为 其 他 用 户 ， 或 直接 单 击 
“更 改 用 户 ”链接 随时 更 改 。 本 例 是 lhn@coolpen.net( 所 用 模板 针对 的 用 户 为 jl@coolpen.net) 。 
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图 6-82 成 功 应 用 权限 策略 模板 


单 击 共享 工作 区 中 的 “更 改 权 限 ” 链 接 ， 可 以 查看 当前 用 户 账户 对 该 文档 拥有 的 控制 权限 ， 显 示 
如 图 6-83 所 示 的 对 话 框 。 由 于 目前 登录 用 户 是 该 文档 的 创建 者 , 在 RMS 配置 该 权限 策略 模板 时 ， 
为 文档 作者 赋予 了 完全 控制 的 权限 ， 即 所 有 权限 的 状态 都 是 “是 ”。 


第 6 章 文件 系统 安全 


ET ET 回 思 国 
ND MR RV SAG WO IRU se FO Wh ED “天 


和 和 部 和 和 和 向 


9 [BPR] Sa... 
EG 和 ] 5] LEN: sce-el 15.0 
1 页 。 1 闻 。 Wi 全 是 2.5 昌 水 1 1 3 3 PP 2 


图 6-83 ”当前 用 户 权限 
2. 在 Windows Vista 系统 中 配置 AD RMS 客户 端 


Windows Vista 系统 默认 已 经 集成 AD RMS 客户 端 ， 用 户 只 需 进 行 相应 配置 即 可 使 用 。 在 Windows 
2000/XP 系统 中 安装 RMS 客户 端 之 后 , 同样 需要 进行 如 下 配置 ,这 里 以 Windows Vista 系统 中 的 Office Word 
2007 为 例 加 以 介绍 。 

使 用 AD RMS 服务 器 上 策略 模板 中 希望 限制 的 域 用 户 账户 登录 客户 端 计算 机 ， 如 图 6-84 所 示 。 由 于 该 
用 户 账户 需要 在 本 地 计算 机 上 保存 策略 模板 ， 所 以 必须 拥有 对 目标 文件 夹 的 写 入 权限 。 


图 6-84 登录 到 客户 端 


© 注意 ; 默认 情况 ， 当 前 登录 的 域 用 户 账户 将 自动 被 添加 到 本 地 的 Users 组 中 ， 因 此 只 需 确保 该 组 具有 足够 
的 操作 权限 即 可 。 


通过 网 络 共享 或 移动 存储 设备 ， 将 AD RMS 服务 器 上 存储 的 权限 策略 模板 ， 复 制 到 本 地 计算 机 上 ， 并 
在 注册 表 中 修改 相应 键 值 ， 与 Windows XP 系统 完全 相同 ， 此 处 不 复 袭 述 。 应 用 过 程 也 比较 简单 ， 打 开 欲 
应 用 此 策略 模板 的 受 保护 文档 (以 0 从 ce Word 2007 为 例 )， 单 击 “0ffice 按钮 ”并 依次 选择 “准备 ”一 “ 限 
制 权限 ”选项 ， 此 时 ， 会 发 现 级 联 菜单 中 多 出 了 一 个 可 选项 ， 即 “禁止 复制 ”， 如 图 6-85 所 示 。 


[243 1 


图 6-85 成功 添加 策略 模板 


3. 受 限 客户 端 应 用 被 保护 文档 


AD RMS 策略 模板 主要 是 为 了 限制 某 些 客户 端 针 对 文档 享有 的 权限 , 因此 当 这 些 受 限 客户 端 应 用 被 保护 
文档 时 ， 必 须 连 接 到 AD RMS 服务 器 进行 凭据 验证 ， 并 下 载 相应 权限 许可 证 才 可 以 打开 。 这 里 ， 仍 以 上 述 
应 用 为 例 进行 介绍 。 RE 可 

Q@” 当 用 户 lhn@coolpen.net 创建 好 的 文档 ， 应 用 A ontoaine 
了 限制 用 户 切 @coolpen.net 复制 和 更 改 的 权 asm 
限 ， 当 用 户 切 @coolpen.net 拿 到 文档 并 查看 ee Ces Cua) 
时 ， 会 显示 如 图 6-86 所 示 的 提示 框 。 

@“ 单 击 “确定 ”按钮 ， 客 户 端 开始 向 AD RMS 服 国人 
务 器 提交 身份 验证 ， 并 获得 相应 的 权限 ， 最 终 打 开 文档 ， 显 示 如 图 6-87 所 示 窗 口 。 不 过 此 时 ， 文 
档 是 “只 读 ” 状 态 ， 并 且 不 允许 用 户 执行 “复制 ”命令 ， 或 按 PrintScreen 键 抓 取 屏 幕 ， 这 是 因为 
当前 被 保护 文档 应 用 的 权限 策略 模板 已 经 屏蔽 了 Windows 的 这 些 功能 , 关闭 受 保护 文档 则 一 切 恢 
复 正 常 ， 用 户 使 用 时 应 注意 。 

@ 单 击 “ 查 看 我 的 权限 ”链接 ， 打 开 如 图 6-88 所 示 的 “我 的 权限 ”对 话 框 ， 其 中 只 有 “查看 ”一 项 
处 于 “是 ”状态 ， 其 他 均 为 “ 否 ”。 

@ 单 击 “ 更 改 用 户 ” 链 接 ， 打 开 如 图 6-89 所 示 的 “选择 服务 ”对 话 框 ， 如 果 当 前 拥有 的 权限 无 法 正 
常 完 成 工作 ， 可 以 在 这 里 选择 其 中 一 种 方式 添加 其 他 有 足够 权限 的 用 户 账户 。 选 择 “ 使 用 
Microsoft .NET Passport 账户 ” 单 选 按钮 ， 可 以 凭借 有 效 的 Microsoft .NET Passport 账户 从 
Microsoft 获得 一 个 证 书 ， 实 现 相 应 目的 ， 这 与 AD RMS 服务 器 的 设置 有 关 ， 如 果 添 加 了 .NET 
Passport 类 型 的 可 信任 用 户 域 ， 则 客户 端 可 以 使 用 这 种 方式 ， 否 则 无 效 。 选 择 “ 使 用 Microsoft 
Windows 账户 ” 单 选 按 钮 ， 即 可 从 当前 域 中 选择 其 他 用 户 账户 来 完成 相应 操作 。 

如 果 上 述 方法 仍 不 能 获得 相应 权限 ， 则 可 以 在 “我 的 权限 ”对 话 框 中 ， 单 击 “ 请 求 附加 权限 ”链接 ， 

向 AD RMS 服务 器 申请 相关 权限 ， 打 开 如 图 6-90 所 示 的 窗口 。“ 收 件 人 ”文本 框 中 就 是 AD RMS 服务 器 上 
设 定 的 接收 申请 的 电子 邮件 地 址 ， 保 持 默认 即 可 。 根 据 自 己 的 实际 需要 ， 说 明 想 要 请 求 的 权限 即 可 。 
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第 6 章 文件 系统 安全 
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图 6-87 文档 处 于 “只 读 ” 状 态 图 6-88 “我 的 权限 ”对 话 杠 


文件 四 仿 吉 0 吾 理 中” 拍 入 人 D 格式 0) 工具 四 邮件 加 


EE 


RD) 


四 加 到 | 7 人 | 三 汪 任 余 到 幸 玫 于 | 一 名 加 


了 x i teh 书 沉 要 增加 本 腊 户 攻 况 和 儿 和 保存 俊 限 ， 并 将 有 次 期 辽 
ee es 


1ilgccolpen net 


图 6-89 “选择 服务 ”对 话 框 图 6-90 ”申请 附加 权限 


提示 : 需要 应 用 此 功能 时 ， 必 须 先 在 网 络 中 配置 Exchange 或 其 他 邮件 服务 器 ,虽然 在 AD RMS 系统 中 用 
到 E-mail 地 址 的 地 方 非常 多 ， 但 是 多 数 情况 下 是 作为 一 种 用 户 标识 ， 并 非 真正 的 用 来 传递 信息 ， 所 以 网 
络 中 邮件 服务 器 也 就 可 有 可 无 。 如果 确实 需要 传递 信息 ， 则 必须 搭建 邮件 服务 器 。 


6.3 ”共享 资源 安全 


通常 情况 下 ， 共 享 资源 是 面向 网 络 中 的 所 有 用 户 的 ， 即 任何 进入 网 络 的 用 户 都 可 以 查看 或 使 用 共享 资 
源 。 保 护 共享 资源 ， 实 现 安全 访问 是 局 域 网 安全 中 必 不 可 少 的 ， 最 常用 的 方法 就 是 限制 赋予 用 户 的 访问 权 
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四 ED 


限 。 前 面 介绍 的 保护 本 地 文件 安全 的 方法 同样 适用 于 共享 资源 ， 并 且 优 先 于 共享 权限 。 对 于 安全 性 要 求 较 
高 的 共享 资源 ， 可 以 同时 采用 多 种 安全 限制 措施 。 


6.3.1 管理 共享 文件 夹 权 限 


当 将 文件 夹 设置 为 共享 资源 时 ， 除 了 必须 为 文件 和 文件 夹 指定 NTFS 权限 外 ， 还 应 当 为 共享 文件 夹 指 
定 相应 的 访问 权限 。 共 享 文件 夹 权 限 比 NTFS 权限 简单 一 些 , 而 且 NTFS 权限 的 优先 级 要 高 于 共享 文件 夹 权 
限 。 因 此 ， 共 享 文件 夹 的 权限 可 以 粗略 设置 ， 而 NTFS 权限 则 必须 详细 划分 。 

1. 设置 共享 权限 

由 于 网 络 用 户 对 文件 资源 的 访问 都 是 通过 网 络 共享 实现 的 ， 所 以 ， 除 了 设置 NTFS 权限 外 ， 还 需要 设 
置 共享 文件 夹 权 限 。 


在 共 训 文件 炎 “ 属 性 ” 对 话 框 的 “共享 ”选项 卡 中 单 击 “ 权 限 ” 。 |。 
按钮 , 即 可 显示 共享 文件 夹 的 权限 对 话 框 , 显示 并 设置 该 共享 文件 夹 
的 权限 ， 如 图 6-91 所 示 。 
共享 文件 夹 权限 具有 以 下 特点 : | 
共享 文件 夹 权限 只 适用 于 文件 来， 而 不 适用 于 单独 的 文件 ， [Se 日 
并 且 只 能 为 整个 共享 文件 夹 设置 共享 权限 , 而 不 能 对 该 共享 | | 日 9 
文件 夹 中 的 文件 或 子 文件 夹 进行 设置 。 所 以 , 共享 文件 夹 权 
限 不 如 NTFS 文件 系统 权限 详细 。 
Cj |_enw | 


”共享 文件 夹 权限 并 不 对 直接 登录 到 计算 机 上 的 用 户 起 作用 ， 
它们 只 适用 于 通过 网 络 连 接 该 文件 夹 的 用 户 。 也 就 是 说 , 共 图 6-91 ”共享 文件 夹 的 权限 对 话 框 
享 权限 对 直接 登录 到 服务 器 上 的 用 户 是 无 效 的 。 

于 “在 FAT/FAT32 系统 卷 上 ， 共 享 文件 夹 权 限 是 保证 网 络 资源 被 安全 访问 的 唯一 方法 。 原 因 很 简单 ， 
NTFS 权限 不 适用 于 FAT/FAT32 卷 。 

里 。 默认 的 共享 文件 夹 权 限 是 读 取 ， 并 被 指定 给 Everyone 组 。 

共享 权限 分 为 读 取 、 修 改 和 完全 控制 。 不 同 权限 以 及 对 用 户 访问 能 力 的 控制 如 表 6-4 所 示 。 


表 6-4 ”共享 权限 对 应 的 操作 


权 限 允许 用 户 完成 的 操作 
读 取 显示 文件 夹 名 称 、 文 件 名 称 、 文 件数 据 和 属性 ， 运 行 应 用 程序 文件 ， 以 及 改变 共享 文件 夹 内 的 文件 夹 
修改 创建 文件 夹 ， 向 文件 夹 中 添加 文件 ， 修 改 文件 中 的 数据 ， 向 文件 中 追加 数据 ， 修 改 文件 属性 ， 删 除 文件 夹 
和 文件 ， 以 及 执行 “ 读 取 ” 权 限 所 允许 的 操作 
完全 控制 修改 文件 权限 ， 获 得 文件 的 所 有 权 


执行 “修改 ”和 “ 读 取 ” 权 限 所 允许 的 所 有 任务 。 默 认 情 况 下 ，Everyone 组 具有 该 权限 


共享 文件 夹 权限 的 多 重 权限 与 NTFS 文件 系统 权限 相似 ， 这 里 不 复 袭 述 。 

在 管理 共享 文件 夹 和 指定 共享 文件 夹 权 限时 ， 应 当 遵 守 以 下 策略 : 

“确定 每 个 资源 有 哪些 组 需要 访问 ， 以 及 这 些 组 对 每 个 资源 各 自 不 同 的 权限 级 别 。 
”为 组 而 不 是 用 户 指定 权限 ， 以 简化 访问 管理 。 
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于 “为 资源 指定 最 严格 的 权限 ， 只 要 允许 用 户 完 成 所 需要 的 任务 即 可 。 

”在 组 织 资源 时 ， 将 对 安全 性 要 求 相同 的 文件 夹 放 在 一 个 文件 夹 中 。 例 如 ， 如 果 用 户 需要 拥有 几 个 
文件 夹 的 读 取 权限 ， 那 么 ， 最 好 将 这 些 应 用 文件 夹 存放 在 同一 文件 夹 ， 然 后 青 共享 这 个 文件 夹 ， 
而 不 是 单独 地 共享 每 个 文件 夹 。 

”使 用 一 目 了 然 的 直观 的 共享 名 ， 便 于 用 户 识 别 并 找到 所 需要 的 资源 。 


2. 共享 权限 与 NTFS 权限 


如 何 快速 有 效 地 控制 对 NTFS 磁盘 分 区 上 网 络 资源 的 访问 呢 ? 答案 就 是 利用 默认 的 共享 文件 夹 权 限 共 
享 文件 夹 , 然后 通过 授予 NTFS 权限 控制 对 这 些 文件 夹 的 访问 。 当 共享 的 文件 夹 位 于 一 个 利用 NTFS 格式 化 
的 磁盘 分 区 上 时 ， 该 共享 文件 夹 的 权限 即 与 NTFS 权限 进行 组 合 ， 用 以 保护 文件 资源 。 共 享 文件 夹 为 资源 
提供 有 限 的 安全 性 ， 而 NTFS 权限 为 共享 文件 夹 提供 最 大 的 灵活 性 。 不 论 是 在 本 地 访问 资源 ， 还 是 通过 网 
络 访问 该 资源 ，NTFS 权限 都 起 作用 。 
当 在 NTFS 卷 上 为 共享 文件 夹 授 予 权限 时 ， 应 当 遵守 下 述 规则 : 
和 ”可 以 对 共享 文件 夹 中 的 文件 和 子 文件 夹 应 用 NTFS 权限 。 可 以 对 共享 文件 夹 中 包含 的 每 个 文件 和 
子 文件 夹 应 用 不 同 的 NTFS 权限 。 
时 。 除 共享 文件 夹 权 限 外 ， 用 户 必 须要 有 该 共享 文件 夹 包含 的 文件 和 子 文件 夹 的 NTFS 权限 ， 才 能 访 
问 那些 文件 和 子 文件 夹 。 在 FAT 卷 上 ， 共 享 文件 夹 权限 是 保护 该 共享 文件 夹 中 的 文件 和 子 文件 夹 
的 唯一 权限 。 
”在 NTFS 卷 上 必须 要 求 有 NTFS 权限 。 默 认 情况 下 ，Everyone 组 具有 “完全 控制 ”权限 。 
当 对 NTFS 权限 和 共享 文件 夹 的 权限 进行 组 合 时 , 组 合 结果 所 产生 的 权限 或 者 是 组 合 的 NTFS 权限 , 或 
者 是 组 合 的 共享 文件 夹 权 限 ， 哪 个 范围 更 窗 、 哪 个 权限 更 严格 就 是 哪 一 个 。 例 如 ，Users 对 Public 共享 文 
件 夹 的 完全 控制 权限 ， 但 只 对 其 中 的 Filel 拥有 只 读 权限 。 那 么 ， 应 当 设 置 User 拥有 对 共享 文件 夹 Public 
完全 控制 的 共享 权限 。 在 设置 Public 的 NTFS 权限 时 ， 也 设置 Users 对 Public 的 完全 控制 权限 ， 同 时 ， 将 
Filel 设置 为 读 取 权限 ， 如 图 6-92 所 示 。 


6-92 ”NTFS 权限 的 优先 级 


3. Windows Server 2008 共享 和 发 现 
共享 和 发 现 是 Windows Server 2008 系统 集中 管理 局 域 网 共享 的 方式 之 一 ， 主 要 包括 网 络 发 现 、 文 件 
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共享 、 打 印 机 共享 、 密 码 保护 的 共享 等 几 项 。 


(GD 网 络 发 现 


通过 配置 “网 络 发 现 ”功能 ， 


可 以 将 自己 的 计算 机 暴露 在 局 域 风 中， 或 者 从 局 域 网 中 隐藏 ， 不 被 其 他 
用 户 发 现 。 开 启 “ 网 络 发 现 ”功能 ， 则 可 以 自动 发 现 网 络 中 的 其 他 启用 “网 络 发 现 ” 功 能 的 Windows Server 
2008 和 其 他 服务 器 ， 关 闭 则 无 法 发 现 其 他 计算 机 。 需 要 注意 的 是 ， 关 闭 “网 络 发 现 ” 功 能 时 ， 其 他 计算 机 仍 
可 以 通过 搜索 或 指定 计算 机 名 、IP 地 址 的 方式 访问 到 该 计算 机 ， 但 不 会 显示 在 其 他 用 户 的 “网 络 ” 中 。 

为 了 便于 服务 器 之 间 的 互 访 建议 开启 此 功能 ， 单 击 “ 网 络 发 现 ” 右 侧 的 下 拉 三 角 按钮 展开 ， 选 择 “ 启 


用 网 络 发 现 ” 单 选 按钮 ， 并 单 击 “ 应 用 ”按钮 即 可 ， 如 图 6-93 所 示 。 
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(2] 密 但 保护 的 共 亭 


如 果 启 用 密码 保护 功能 ， 则 其 他 用 户 必须 具备 当前 计算 机 的 用 户 账户 和 密码 才 可 以 访问 已 经 共享 的 资 
源 , 如 果 已 经 加 入 域 中 , 则 必须 凭借 有 足够 权限 的 域 用 户 账户 才 可 以 连接 到 此 计算 机 的 共享 资源 。 Windows 
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Server 2008 默认 是 启用 该 功能 的 ， 如 图 6-94 所 示 。 
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图 6-94 ”密码 保护 的 共享 


6.3.2 ”默认 共享 安全 


默认 共享 主要 是 为 了 方便 网 络 管理 员 管理 网 络 中 的 计算 机 ， 特 别 是 在 基于 域 的 网 络 中 ， 专 门 有 儿 个 默 
认 共 享用 于 存储 用 户 配 置 文件 是 非常 方便 的 。 但 是 ， 默 认 共享 在 方便 管理 的 同时 ， 也 给 计算 机 的 安全 埋 下 
了 重大 安全 隐患 。 如 果 知 道 了 管理 员 账 户 和 密码 ， 任 何人 都 能 访问 计算 机 ， 所 以 如 果 管理 员 账 户 密码 被 恶 
意 用 户 窃取 ， 对 于 计算 机 的 安全 来 说 是 非常 不 利 的 。 


1. 查看 默认 共享 
默认 共享 是 为 了 方便 管理 员 远程 管理 而 默认 开启 的 共享 (当然 可 以 关闭 它 ), 即 所 有 的 逻辑 磁盘 (C$、D$、 
完 目录 Windows NT 或 Windows(ADMIN$)， 通 过 IPC$ 连 接 可 以 实现 对 这 些 默认 共享 的 访问 。 

(1) 命令 行 方式 

如 果 想 要 查看 本 地 计算 机 目前 所 打开 的 默认 共享 ， 可 以 在 本 地 计算 机 的 命令 提示 符 下 ， 使 用 Net share 
命令 来 查看 系统 目前 所 有 的 共享 的 目录 。 在 这 些 所 列 出 的 共享 目录 中 ， 不 但 包括 默认 共享 ， 还 包括 系统 除 
默认 共享 以 外 的 所 有 共享 目录 。 

具体 操作 过 程 如 下 。 

在 命令 行 提示 符 下 ， 输 入 : 


Net share 


按 Enter 键 ， 命 令 成 功 执行 ， 如 图 6-95 所 示 。 
的 所 有 共享 目录 ， 这 里 主要 包括 IPC$ 默 认 共享 、 罗 辑 磁 盘 共 享 “D$、C$”， 系 


在 这 里 所 显示 就 是 
统 目录 共享 “ADMIN$” 

(2] 图 形 窗口 方式 

如 果 用 户 对 在 命令 提示 符 下 的 操作 不 是 很 熟悉 的 话 ， 还 可 以 使 用 图 形 方式 ， 查 看 目前 系统 的 默认 共享 


账户 登录 系统 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “计算 机 管理 ”选项 ， 打 开 “ 计 算 
窗口 ， 如 图 6-96 所 示 。 


3 = 区 
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如 中 | 方 喇 13| 目 后 
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图 6-95 Net share 的 执行 结果 图 6-96 “计算 机 管理 ”窗口 
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@ Windows Server 2008 


回 在 “计算 机 管理 ”窗口 左 侧 的 “计算 机 管理 ”列表 树 中 ， 依 次 展开 “系统 工具 ”一 “共享 文件 夹 ” 
一 “共享 ”选项 ， 如 图 6-97 所 示 。 


| 


图 6-97 ”共享 文件 夹 

图 选择 “共享 ”选项 ， 在 右 侧 的 共享 列表 中 ， 可 以 查看 本 地 计算 机 上 已 经 设置 的 默认 共 

2. 停止 默认 共享 

如 果 在 网 络 中 没有 使 用 默认 共享 的 必要 ， 建 议 用 户 将 
的 安全 。 

(1) 使 用 Net share 命令 

首先 ， 介 绍 如 何在 命令 提示 符 下 ， 使 用 命令 停止 系统 的 默认 共享 ， 所 使 用 的 命令 为 “Net share”。 

具体 操作 过 程 如 下 。 

在 命令 行 提 示 符 下 ， 输 入 : 


究 的 默认 共享 关闭 ， 从 而 进一步 的 保证 计算 机 


net share d5 /delete 


按 Enter 键 ， 命 令 成 功 执行 ， 即 可 停止 共享 ， 如 图 6-98 所 示 。 


6-98 ”删除 D$ 默 认 共享 


其 中 D$ 表 示 系 统 默认 共享 D 盘 ， 其 他 如 C$、ADMIN$、IPC$ 等 都 可 以 使 用 此 种 格式 删除 。 
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在 “/Delete” 前 必须 要 有 空格 。 可 以 使 用 “NET SHARE ADMIN$ 
或 “NET SHARE IPC$” 共 享 (如 果 共 享 存在 ， 则 为 显示 共享 )， 但 需 
法 来 建立 默认 共享 。 

如 果 需 要 删除 所 有 的 默认 共享 ， 可 以 使 脚本 命令 ( 批 处 理 文件 方式 ] 完 成 ( 即 扩展 名 为 “.bat” 的 文件 ]: 


或 “NET SHARE IPC$ ”建立 “ADMIN$” 
注意 的 是 ， 其 他 共享 则 不 能 使 用 该 方 


Net share IPC$ /delete 
Net share Admin$ /delete 
Net share C$ /delete 
Net share D$ /delete 


默认 共享 的 盘 符 可 以 根据 需要 使 用 脚本 命令 分 别 删除 ， 该 批 处 理 文件 可 以 在 命令 提示 符 下 运行 ， 也 可 
以 将 其 添加 到 启动 项 中 ， 如 图 6-99 所 示 。 这 里 创建 一 个 名 为 “sharebat” 的 批 处 理 文件 ， 用 以 将 系统 的 默 
认 共 享 删除 ， 并 在 命令 提示 符 下 运行 。 


二 命 人 提示 条 EE 


图 6-99 在 命令 提示 符 下 运行 批 处 理 文件 
(2] 关闭 Server 服务 
默认 共享 使 用 的 是 计算 相 


系统 的 Server 服务 ， 如 果 将 该 服务 直接 关闭 ， 就 可 以 直接 删除 默认 共享 。 

中 依次 选择 “开始 ”一 理工 具 ” 一 “服务 ”选项 ， 打 开 “ 服 务 ” 窗 口 ， 双 击 Server 服务 ， 打 开 
“Server 的 属性 (本 地 计算 机 ]” 对 话 框 ， 如 图 6-100 所 示 。 在 “启动 类 型 ”下 拉 列 表 框 中 ， 选 择 
“手动 ”， 以 免 再 次 重新 启动 系统 时 服务 随 之 启动 。 

加 单 击 “ 停 止 ”按钮 ， 显 示 如 图 6-101 所 示 的 “服务 控制 ”对 话 框 ， 开 始 停止 Server 服务 。 

@ 单 击 “ 确 定 ”按钮 ， 即 可 停止 Server 服务 。 青 次 打开 命令 提示 符 窗 口 ， 输 入 如 下 命令 : 


Net share 


按 Enter 键 ， 显 示 如 图 6-102 所 示 的 结果 ， 提 示 Server 服务 没有 启动 ， 直 接 输 入 “n” 并 按 Enter 键 即 可 。 

使 用 这 种 方法 停止 默认 共享 后 ， 其 他 共享 也 将 同时 被 取消 ， 应 慎重 选择 。 

(3】 修改 注册 表 

使 用 前 面 两 种 方法 停止 完成 系统 默认 共享 ， 当 系统 重新 启动 后 ， 默 认 共享 会 重新 恢复 。 如 果 用 户 需 要 
永久 性 地 停止 系统 默认 共 可 以 通 修改 注册 表 的 方法 来 实现 该 目的 。 停止 系统 默认 共享 的 键 值 ， 默 认 
情况 下 在 Windows 操作 系统 上 不 存在 ， 需 要 用 户 手 动 添加 该 键 值 ， 修 改 后 重新 启动 计算 机 即 可 使 该 键 值 
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EE 
慑 表 六 一 


|_ tm | BHD | | 
当 从 此 处 启动 PR 务 引 ， 半 丁 撕 十 所 话 用 的 言 动 参 示 。 


这 Li 下风) 


多 自动 王 .。 本 地 对 和 一 


图 6-100 “Server 的 属性 (本 地 计算 机 )” 对 话 框 


| 
让 信 由 本 地 计 竺 机 上 的 下 列 有 和 


关闭 已 
图 6-101 “服务 控制 ”对 话 框 6-102 ”关闭 Server 服务 后 


中 单 击 “ 开 始 ” 按 钮 ， 在 “开始 搜索 ”文本 框 中 输入 “regedit” 并 按 Enter 键 ， 打 开 “ 注 册 表 编辑 
器 ”窗口 。 依 次 展开 如 下 注册 表 子 项 : [HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\ 
Services\LanmanServerNAutotunedParameters]， 如 图 6-103 所 示 。 

@ 在 右 侧 的 空白 窗 格 中 右 击 ， 在 快捷 菜单 中 选择 “新 建 ”命令 ,在 子 菜单 中 选择 “Dword 值 ” 选项， 
新 建 一 个 名 为 “AutoShareServer” 的 Dword 值 ， 并 将 其 赋值 为 00000000， 如 图 6-104 所 示 。 

(4)] Microsoft 网 络 的 文件 和 打印 机 共享 

除 使 用 修改 注册 表 的 方法 外 ， 还 可 以 使 用 卸载 网 卡 相关 属性 的 方法 关闭 默认 共享 。 

名 在 “控制 面板 ”窗口 中 ， 打 开 如 图 6-105 所 示 的 “网 络 和 共享 中 心 ”窗口 。 


第 6 章 文件 系统 安全 


图 6-103 ”展开 的 注册 表 项 目 


图 6-105 “网 络 和 共享 中 心 ”窗口 
加 单 击 “查看 状态 ”链接 ， 打 开 “ 本 地 连接 状态 ”对 话 框 ， 单 击 “属性 ”按钮 ， 显 示 如 图 6-106 
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所 示 的 “本 地 连接 属性 ”对 话 框 。 
图 选中 “Microsoft 网 络 的 文件 和 打印 机 共享 ” 复 选 框 ， 单 击 “ 印 载 ” 按钮 ， 系 统 提示 确认 删除 信息 ， 
显示 如 图 6-107 所 示 的 “卸载 Microsoft 网 络 的 文件 和 打印 机 共享 ”对 话 框 。 


图 6-106 “本 地 连接 属性 ”对 话 框 图 6-107 种 载 信息 提示 
图 单 击 “ 是 ”按钮 ， 即 可 完成 “Microsoft 网 络 的 文件 和 打印 机 共享 ”项 目的 卸载 。 
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Windows Server 2008 是 一 款 服 务 器 操作 系统 , 其 设 
计 初 衷 就 是 通过 安装 不 同 的 服务 组 件 ， 为 网 络 提供 各 种 
服务 。 但 因为 其 直接 暴露 于 网 络 之 下 ， 所 提供 的 网 络 服 
务 的 安全 ， 将 直接 影响 着 提供 服务 的 质量 。 微 软 在 设计 
之 初 就 想到 多 种 可 能 遇 到 安全 问题 , 因此 , 使 用 Windows 
Server 2008 自身 的 不 同安 全 措施 可 以 进一步 保证 网 络 服 
务 的 安全 。 


全 关键 词 
IIS 安全 机 制 
WWW 安全 
FTP 服务 安全 
终端 服务 安全 
文件 服务 安全 
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7.1 1IS 安全 机 制 


IIS 7.0 是 Windows Vista 和 Windows Server 2008 系统 中 的 默认 版 本 ， 相 对 于 IIS 6.0 而 言 ， 安 全 性 和 


实用 性 都 经 过 了 重新 设计 和 整合 ， 模 块 化 的 管理 特点 更 加 清晰 ， 管 理 员 可 以 通过 添加 或 删除 相关 功能 模块 
来 自 定义 服务 器 。IIS 7.0 支持 多 种 安全 机 制 ， 从 管理 控制 台 访问 权限 控制 ， 到 站 点 、 目 录 的 访问 权限 设置 ， 
从 身份 验证 到 传输 加 密 , IIS 服务 本 身 已 经 可 以 主动 防御 来 自 网 络 的 攻击 , 同时 配合 NTFS 权限 的 访问 控制 ， 
可 以 大 大 提升 服务 器 和 站 点 的 安全 级 别 。 


| 


lIS 访问 控制 安全 


通过 为 服务 器 配置 适当 的 身份 验证 机 制 ， 可 以 确认 任何 请 求 访问 网 站 的 用 户 身份 ， 以 及 授予 访问 站 点 


公共 区 域 的 权限 ， 同 时 还 可 以 防止 未 经 授权 的 用 户 访问 专用 文件 和 目录 。 除 此 之 外 ，IIS 7.0 本 身 还 提供 了 
许多 全 新 安全 功能 ， 如 访问 控制 、IIS 管理 器 权限 、 授 权 规则 等 。 


[2561 


.NET 信任 级 别 。 管 理 员 可 以 通过 此 项 安全 设置 为 托管 模块 、 管 理 程序 和 应 用 程序 指定 信任 的 级 别 ， 
以 提高 网 络 组 件 和 服务 器 的 安全 。 该 功能 需要 .NET 扩展 组 件 的 支持 。 

IIS 管理 器 权限 。 该 功能 可 以 控制 允许 连接 到 网 站 或 应 用 程序 的 用 户 对 象 ， 包 括 IIS 管理 器 用 户 、 
Windows 用 户 或 Windows 组 的 成 员 。 该 功能 仅 适用 于 服务 器 连接 。 如 果 在 IIS 管理 器 中 的 服务 器 
级 别 打开 此 功能 ， 则 可 以 查看 被 授予 了 Web 服务 器 上 所 有 网 站 和 应 用 程序 权限 的 用 户 , 并 且 可 以 
选择 用 户 以 删除 该 用 户 的 网 站 或 应 用 程序 权限 ， 提 高 服务 器 的 安全 性 。 

JIS 管理 器 用 户 。 通过 该 功能 可 以 管理 被 允许 连接 到 Web 服务 器 上 的 网 站 或 应 用 程序 的 用 户 账户 。 
IIS 管理 器 凭据 默认 已 经 内 置 于 IIS 中 ， 无 法 被 Windows 或 服务 器 上 的 任何 其 他 应 用 程序 识别 。 
访问 控制 。 与 HS 6.0 中 的 “IP 地 址 和 域名 限制 ”功能 类 似 ， 可 以 通过 配置 “允许 ”或 “拒绝 ” 访 
问 服务 器 的 IP 地 址 或 域名 列表 ， 实 现 对 服务 器 的 访问 控制 。 

ISAPI 和 CGI 限制 。 该 功能 可 以 指定 ， 允 许 在 IIS 服务 器 上 运行 的 ISAPI 和 CGI 组 件 。CGI 是 最 常 
用 的 Web 服务 器 功能 的 扩展 ， 主 要 用 于 搭建 动态 网 站 环境 。 

服务 器 证 书 。 证 书 可 以 用 来 建立 安全 套 接 字 层 (SSL) 链 接 ， 也 可 以 用 于 验证 来 访 用 户 账户 的 身份 。 
功能 权限 委派 。 在 Windows Server 2008 中 ， 管 理 员 可 以 使 用 功能 权限 委派 ， 为 WWW 服务 器 上 
的 网 站 和 应 用 程序 配置 IIS 管理 器 功能 的 委派 状态 。 从 IIS 管理 器 中 配置 功能 的 委派 状态 时 ， 可 以 
指定 该 功能 在 IIS 7.0 的 服务 器 级 别 配置 文件 中 ， 是 否 处 于 锁定 状态 。 如 果 某 项 功能 被 锁定 ， 则 只 
能 从 (向 ) 服 务 器 级 别 配置 文件 中 ， 读 取 ( 写 入 ) 该 功能 的 配置 。 但 是 ， 如 果 希 望 从 (向 ) 较 低级 别 的 配 
置 文件 (如 网 站 或 应 用 程序 中 的 Web.config 文件 ) 中 ， 读 取 ( 写 入 ) 配 置 时 ， 则 可 以 解除 锁定 。 
管理 服务 。 管 理 员 可 以 使 用 功能 配置 IIS 管理 器 的 管理 服务 。 利 用 管理 服务 ， 计 算 机 和 域 管理 员 
可 以 通过 远程 方式 ， 管 理 Web 服务 器 、 站 点 和 应 用 程序 。 

身份 验证 。IIS 7.0 可 以 提供 7 种 身份 验证 方法 ， 并 且 集 成 Active Directory 服务 的 身份 验证 机 制 ， 
如 AD 客户 端 身份 验证 、 摘 要 式 身份 验证 等 , 以 及 .NET 组 件 提供 的 ASP.NET 模拟 身份 验证 方法 等 。 
授权 规则 。 管 理 员 通 过 为 服务 器 配置 相应 的 授权 规则 ， 可 以 指定 授权 用 户 访问 网 站 或 应 用 程序 的 
规则 。 


7.1.2 NTFS 访问 安全 


NTEFS 文件 系统 可 以 为 数据 提供 安全 和 访问 控制 ， 可 以 限制 用 户 和 服务 对 文件 和 文件 夹 的 访问 。 使 用 
NTEFS 文件 系统 时 ， 必 须 为 用 户 账户 授予 相应 的 NTFS 权限 ， 该 用 户 才能 访问 相应 的 文件 或 文件 夹 ， 否 则 就 
无 法 访问 ， 从 而 在 一 定 程度 上 保护 了 数据 的 安全 。 需 要 注意 的 是 ，NTFS 的 安全 性 在 本 地 计算 机 或 网 络 中 都 


是 有 效 的 。 无 论 是 以 用 户 身份 登录 到 服务 器 ， 还 是 通过 网 络 访问 


从 安全 性 角度 考虑 ， 应 为 IIS 设置 NTFS 权限 。 

无 论 使 用 IIS 搭建 Web 服务 还 是 FTP 服务 , 都 应 将 文件 
存储 在 NTFS 分 区 内 ， 并 利用 NTFS 权限 来 增强 数据 的 安全 
性 。 在 资源 管理 器 中 ， 右 击 IIS 的 安装 目录 (默认 为 
%Systemroot%\Inetpub) 选 择 快捷 菜单 中 的 “属性 ”选项 ， 
打开 “inetpub 属性 ”对 话 框 ， 切 换 到 “安全 ”选项 卡 ， 单 
击 “ 编 辑 ” 按 钮 ， 即 可 修改 用 户 或 组 的 访问 权限 ， 如 图 7-1 
所 示 。 

如 果 NTFS 的 权限 设置 与 IIS 权限 设置 发 生 冲 突 ， 以 最 
严格 的 设置 为 准 。 例 如 ，NTFS 的 权限 设置 为 只 读 ， 而 IIS 权 
限 设置 为 完全 控制 , 那么 , 用 户 的 访问 权限 将 只 能 是 “只 读 ”。 
为 了 使 服务 器 尽 可 能 地 安全 ， 应 该 重新 检查 一 下 所 有 IIS 文 


共享 文件 夹 ，NTFS 安全 性 都 有 效 。 因 此 ， 


可 


| 后 二 | Wi| EXEX| 


件 夹 的 安全 设置 并 进行 适当 的 调整 。 I 


7.1.3 ”身份 验证 


在 IS 7.0 中 ,支持 以 下 7 种 身份 验证 方法 ， 可 以 确认 任何 请 求 访问 网 站 的 用 户 身份 以 及 授予 访问 站 点 
公共 区 域 的 权限 ， 同 时 又 可 防止 未 经 授权 的 用 户 访问 专用 文件 和 目录 。IIS 7.0 支持 的 身份 验证 方式 如 下 : 


ASP.NET 模拟 身份 验证 。 启 用 该 身份 验证 方式 后 ，ASP.NET 应 用 程序 可 以 在 两 种 环境 中 运行 ， 即 
作为 通过 IIS 身份 验证 的 用 户 或 作为 管理 员 设置 的 任意 账户 。 该 身份 验证 方式 需要 ASP.NET 扩展 
组 件 的 支持 。 

Forms 身份 验证 。 使 用 Forms 身份 验证 ， 可 以 为 公共 服务 器 上 的 高 流量 网 站 或 应 用 程序 提供 身份 
验证 。 该 身份 验证 模式 ， 可 以 使 用 户 在 应 用 程序 级 别管 理 客户 端 注册 ， 而 无 需 依赖 操作 系统 提供 
的 身份 验证 机 制 。 

基本 身份 验证 。 基 本 验证 会 “模仿 ”一 个 本 地 用 户 ( 即 实际 登录 到 服务 器 的 用 户 ]， 在 访问 WWW 
服务 器 时 登录 。 因 此， 车 欲 以 基本 验证 方式 确认 用 户 身份 ， 用 于 基本 验证 的 Windows 用 户 ， 必 须 
具有 “本 地 登录 ”用 户 权 限 。 默 认 情况 下 ， 主 域 控制 器 (PDC) 中 的 用 户 账户 ， 不 授予 “本 地 登录 ” 
用 户 的 权限 。 使 用 基本 身份 验证 方法 ， 将 导致 密码 以 未 加 密 形 式 在 网 络 上 传输 。 蓄 意 破坏 系统 安 
全 的 用 户 ， 可 以 在 身份 验证 过 程 中 使 用 协议 分 析 程 序 ， 破 译 用 户 和 密码 。 

摘要 式 身份 验证 。 摘 要 式 验证 只 能 在 域 中 使 用 。 域 控制 器 必须 具有 所 用 密码 的 纯 文 本 副 件 ， 以 便 
完成 散 列 操作 结果 与 浏览 器 发 送 散 列 值 的 比较 。 

匿名 身份 验证 。 这 是 IIS 7.0 默认 使 用 的 身份 验证 方式 ， 允 许 任何 用 户 访问 任何 公共 内 容 ， 而 不 用 
向 客户 端 浏览 器 提供 用 户 名 和 密码 质询 。 如 果 某 些 内 容 只 应 当 由 选 定 用 户 查看 ， 而 且 准 备 使 用 匿 
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名 身份 验证 ， 则 必须 配置 相应 的 NTFS 文件 系统 权限 ， 防 止 匿名 用 户 访问 这 些 内 容 。 如 果 和 希望 只 
允许 注册 用 户 查 看 选 定 的 内 容 ， 则 必须 为 这 些 内 容 配 置 适当 的 身份 验证 方法 ， 如 基本 身份 验证 或 
摘要 式 身份 验证 。 

Windows 身份 验证 。 集 成 Windows 验证 是 一 种 安全 的 验证 形式 ， 需 要 用 户 输入 用 户 账户 和 密码 。 
用 户 名 和 密码 在 通过 网 络 发 送 前 会 经 过 散 列 处 理 , 因此 可 以 确保 安全 性 。 当 启用 Windows 验证 时 ， 
用 户 的 浏览 器 通过 WWW 服务 器 进行 密码 交换 .Windows 身份 验证 使 用 Kerberos v5 验证 和 NTLM 
验证 ,如 果 在 Windows 域 控制 器 上 安装 了 Active Directory 服务 ,并 且 用 户 的 浏览 器 支持 Kerberos 
v5 验证 协议 ， 则 使 用 Kerberos v5 验证 ， 否 则 使 用 NTLM 验证 。 

证 书 。 可 以 用 来 建立 安全 套 接 字 层 (SSL) 链 接 的 数字 和 凭据， 也 可 以 用 于 验证 。 


当 不 允许 用 户 匿 名 访问 时 ， 还 应 当 为 TS 用户 账户 设置 强 密 码 ， 以 实现 IIS 的 访问 安全 。 密 码 应 该 足够 
复杂 且 够 长 ， 可 以 通过 使 用 数字 、 符 号 和 英文 字母 (包括 大 小 写 ) 结 合 的 方式 来 设置 密码 ， 长 度 一 般 在 6 位 
以 上 ， 并 且 通 过 经 常 修改 密码 ， 封 锁 失 败 的 登录 尝试 ， 以 及 设 定 账户 的 有 效 期 等 方法 对 一 般 用 户 账户 进行 


管理 。 


如 果 IIS 服务 器 在 域 环境 中 运行 , 则 还 将 安装 一 种 仅 适用 于 域 环境 的 身份 验证 方式 , 即 “Active Directory 
客户 证 书 身份 验证 ”。 人 允许 用 户 使 用 Active Directory 目录 服务 功能 ， 将 用 户 映 射 至 客户 证 书 ， 以 便 进行 身 
份 验证 。 将 用 户 映 射 至 客户 证 书 可 以 自动 验证 用 户 的 身份 ， 而 无 需 使 用 基本 、 摘 要 式 或 集成 Windows 身份 
验证 等 其 他 身份 验证 方法 。 


7.1.4 


llS 安装 安全 


在 安装 IIS 时 应 注意 以 下 问题 : 


选择 非 域 控制 器 作为 IIS 服务 器 。 安 装 IIS 过 程 中 ， 系 统 将 自动 创建 “IUSR_ 计 算 机 名 ”匿名 账户 ， 
如 果 所 选 服务 器 是 域 控制 器 ， 则 该 用 户 账户 将 被 添加 到 域 用 户 组 中 (Users)， 从 而 把 应 用 于 组 的 访 
问 权限 ， 提 供给 访问 HS 服务 器 的 每 个 匿名 用 户 ， 这 不 仅 给 HS 带 来 潜在 危险 ， 而 且 还 可 能 威胁 整 
个 网 络 的 安全 。 

选择 非 系 统 分 区 作为 安装 目录 。 把 IIS 安装 在 非 系统 分 区 上 ,会 使 系统 文件 与 IIS 同样 面临 非法 访 
问 ， 容 易 使 非法 用 户 侵入 系统 分 区 ， 所 以 在 安装 IIS 的 Web、FTP 等 服务 时 ， 应 尽量 避免 将 IIS 服 
务 器 安装 在 非 系统 分 区 上 。 

安装 在 NTFS 类 型 分 区 上 。 相 对 于 FAT32 分 区 而 言 ，NTFS 分 区 拥有 较 高 的 安全 性 和 可 管理 性 ， 
并 且 磁 盘 利 用 效率 高 ， 可 以 设置 复杂 的 访问 权限 ， 以 适应 不 同 信息 服务 的 需求 。 

只 安装 必需 的 组 件 。 除 非特 别 需 要 ， 和 否则 ， 不 要 安装 Internet 打印 以 及 ASP.NET、CGI 等 动态 网 
站 扩展 组 件 ， 以 避免 恶意 用 户 借 助 相应 的 组 件 漏洞 或 设置 错误 ， 实 现 对 IIS 服务 器 的 攻击 。 
定制 自己 需要 的 安全 功能 组 件 。 IIS 7.0 提供 的 更 为 丰富 的 安全 功能 设置 , 管理 员 可 以 根据 IIS 服务 
器 的 需求 定制 适当 的 安全 限制 。 


7.2 WWW 安全 


WWW 服务 是 常用 网 络 服务 之 一 , 通过 IIS 可 以 搭建 信息 发 布 、 信 息 查 询 、 电 子 商务 、 电 子 政务 等 各 种 
用 途 的 Web 网 站 。 此 外 ， 许 多 基于 Web 管理 界面 的 其 他 网 络 服务 ， 同 样 需要 用 到 WWW 服务 器 的 安全 ， 
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如 邮件 服务 器 、 流 媒体 服务 器 等 。 因 此 ，WWW 服务 器 的 安全 性 ， 将 影响 到 本 地 系统 ， 甚 至 整个 网 络 的 安 
全 性 ， 必 须 通 过 相应 的 安全 机 制 控制 来 访 用 户 的 访问 。 


7.2.1 用 户 控制 安全 


WWW 服务 器 的 主要 功能 就 是 为 用 户 提供 信息 发 布 和 查询 平台 ， 信 息 的 面向 对 象 不 同 ， 所 以 就 需要 对 
访问 用 户 进行 控制 ， 通 过 设置 适当 的 身份 验证 方式 即 可 实现 。 例 如 ， 如 果 信息 面向 所 有 用 户 ， 则 可 以 使 用 
匿名 身份 验证 ， 如 果 仅 面向 部 分 用 户 ， 则 可 以 仅 赋予 这 些 用 户 对 信息 的 访问 权限 。 配 置身 份 验证 可 以 确保 
服务 器 的 安全 ， 同 时 还 可 以 为 来 访 用 户 提供 身份 验证 并 生成 服务 器 日 志 。 

@ ”依次 选择 “开始 ”一 “管理 工具 ”一 “Internet 信息 服务 (IIS] 管 理 器 ” 选项， 打开 “Internet 信息 

服务 (1S) 管 理 器 ”窗口 ， 依 次 展开 “LIUXH( 服 务 器 名 称 )” 一 “网 站 ”一 “Default Web Site( 默 认 
Web 站 点 ]”， 在 中 间 窗 格 中 选择 “身份 验证 ”图 标 ， 如 图 7-2 所 示 。 


文件 视 攻 WW) 帮助 00 
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图 7-2 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 


提示 : 在 “分 组 依据 ”下 拉 列 表 框 中 ， 可 以 选择 适当 的 分 类 条 件 ， 包 括 类 别 、 区 域 和 不 进行 分 组 几 种 。 
所 选 分 类 条 件 的 不 同 ， 布 局 也 会 有 所 不 同 。 


@ 在 “操作 ” 栏 中 单 击 “ 打 开 功能 ”链接 ， 或 者 直接 双击 “身份 验证 ”， 显 示 如 图 7-3 所 示 的 “ 身 
份 验证 ”窗口 。 


提示 : 如 果 采 用 默认 方式 安装 Windows Server 2008 中 的 IIS 7.0, 将 只 安装 必须 的 “匿名 身份 验证 ”组 件 ， 
管理 员 也 可 以 在 安装 过 程 中 ， 根 据 需要 选择 希望 安装 的 组 件 ， 或 者 在 安装 完成 后 ， 再 次 添加 希望 使 用 的 
身份 验证 安全 组 件 ， 如 图 7-4 所 示 。 


@ 在 “身份 验证 ”窗口 中 ， 选 择 “ 匿 名 身份 验证 ”并 单 击 “ 操 作 ” 栏 中 的 “编辑 ”链接 ， 显 示 如 图 
7-5 所 示 的 “编辑 匿名 身份 验证 凭据 ”对 话 框 。 默 认 选 择 “ 特 定 用 户 ” 单 选 按钮 ，IIS 7.0 默认 使 用 
安装 过 程 中 自动 创建 的 IJSR,， 作 为 用 户 名 进行 匿名 访问 。 如 果 选 择 “ 应 用 程序 池 标识 ” 单 选 按钮 ， 
则 可 以 允许 HS 进程 ， 使 用 在 应 用 程序 池 的 属性 页 上 指定 的 账户 运行 。 
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图 7-3 “身份 验证 ”窗口 
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图 7-4 添加 功能 组 件 图 7-5 “编辑 匿名 身份 验证 凭据 ”对 话 框 


图 单 击 “设置 ” 按钮， 显示 如 图 7-6 所 示 的 “设置 凭据 ”对 话 框 。 输 入 用 户 名 、 密 码 后 单 击 “ 确 定 ” 
按钮 ， 替 换 系统 默认 的 IUSR 账户 ， 青 次 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 

回 更改 系统 默认 匿名 访问 账户 ， 虽 然 可 以 起 到 一 定 的 安全 保护 作用 ， 但 仍 不 能 适用 于 安全 需求 较 高 
的 Web 服务 器 。 在 “身份 验证 ”窗口 中 ， 选 择 “ 匿 名 身份 验证 ”选项 ， 单 击 “ 操 作 ” 栏 中 的 “ 禁 
用 ”链接 ， 即 可 禁用 匿名 访问 。 此 时 ， 来 访 用 户 必 须 使 用 有 效 的 用 户 账户 凭证 ， 通 过 Web 服务 器 
的 身份 验证 ， 才 可 以 进行 正常 访问 。 在 “身份 验证 ”窗口 中 ， 选 择 希望 使 用 的 身份 验证 方式 ， 单 
击 “操作 ” 栏 中 的 “启用 ”链接 即 可 。 

选择 “基本 身份 验证 ”方式 ， 在 “操作 ” 栏 中 单 击 “编辑 ”链接 ， 显 示 如 图 7-7 所 示 的 “编辑 基 
本 身份 验证 设置 ”对 话 框 。 在 “默认 域 ”文本 框 中 ， 输 入 默认 情况 下 对 用 户 进 行 身份 验证 时 所 依 
据 的 域名 ， 如 coolpen.net。 在 “领域 ”文本 框 中 ， 输 入 将 使 用 已 通过 默认 域 身份 验证 凭据 的 DNS 
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加 


R22 


域名 或 地 址 ， 可 以 选择 为 基本 身份 验证 提供 “领域 ”， 如 liuxh.coolpen.net。 


图 7-6 “设置 凭据 ”对 话 框 图 7-7 “编辑 基本 身份 验证 设置 ”对 话 框 


提示 : 如 果 在 “领域 ” 框 中 ， 输 入 默认 域名 ， 则 在 用 户 名 和 密码 质询 期 间 ， 内 部 的 Microsoft Windows 域 
名 可 能 会 暴露 给 外 部 用 户 。 


单 击 “ 确 定 ” 按 钮 ， 保 存 设置 即 可 。 同 时 还 可 以 启用 多 种 身份 验证 方式 。 


访问 权限 控制 


通过 设置 适当 的 访问 权限 ， 可 以 严格 控制 来 访 用 户 对 于 指定 类 型 的 文件 的 访问 。 管 理 员 可 以 根据 实际 
情况 ， 为 特殊 文件 类 型 设置 访问 策略 ， 指 定 授予 IIS 中 的 Web 服务 器 、 网 站 、 应 用 程序 、 目 录 或 文件 级 别 
的 处 理 程序 的 功能 权限 类 型 。 


1. 


编辑 功能 权限 


通过 配置 功能 权限 可 以 设置 访问 策略 , 访问 策略 指定 IIS 中 所 有 处 理 程序 可 以 具有 的 权限 类 型 。 可 以 在 
访问 策略 中 启用 或 禁用 的 功能 权限 包括 读 取 、 脚 本 和 执行 。 处 理 程序 能 否 运行 由 访问 策略 以 及 处 理 程序 所 
需 的 访问 设置 共同 决定 。 如 果 处 理 程序 需要 未 在 访问 策略 中 启用 的 功能 权限 类 型 ， 该 处 理 程序 将 被 禁用 ， 
并 且 该 处 理 程序 (基于 处 理 程序 映射 ] 处 理 的 所 有 请 求 都 将 失败 ， 除 非 请 求 可 以 由 另 一 个 处 理 程序 处 理 。 


© 


© 


在 IIS 7.0 管理 控制 台中 , 单 击 欲 配置 的 服务 器 、 站 点 或 目录 , 在 主页 窗口 中 双击 “处 理 程序 映射 ” 
图 标 ， 显 示 如 图 7-8 所 示 的 “处 理 程序 映射 ”窗口 。“ 已 启用 ”列表 中 显示 的 是 当前 站 点 支持 的 
文件 类 型 。 

右 击 需要 设置 的 文件 类 型 (以 ASPClassic 为 例 )， 选 择 快捷 菜单 中 的 “编辑 功能 权限 ”命令 ， 打 开 
如 图 7-9 所 示 的 “编辑 功能 权限 ”对 话 框 。 各 权限 的 描述 如 下 : 

读 取 。 选 中 “ 读 取 ” 复 选 框 ， 可 以 启用 需要 对 虚拟 目录 具有 读 取 访问 权限 的 处 理 程序 。 如 果 要 提 
供 静 态 内 容 ， 或 者 要 配置 默认 的 文档 和 目录 浏览 ， 则 应 当 在 访问 策略 中 启用 读 取 权限 。 默 认 情况 
下 ， 读 取 权 限 处 于 启用 状态 。 

脚本 。 选 中 “脚本 ” 复 选 框 ， 可 以 启用 需要 对 虚拟 目录 具有 脚本 权限 的 处 理 程序 。 

执行 。 选 中 “执行 ” 复 选 框 ， 以 启用 需要 对 虚拟 目录 具有 执行 权限 的 处 理 程序 。 只 有 当 “ 脚 本 ” 
复 选 框 处 于 选中 状态 时 ， 才 会 启用 “执行 ” 复 选 框 。 只 有 当 希 望 除 了 脚本 之 外 还 允许 运行 可 执行 
文件 (如 .exe、.dll 和 .com 文件 ] 时 ， 才 应 当 在 访问 策略 中 启用 执行 权限 。 


出 于 安全 和 性 能 方面 的 考虑 ， 应 当 只 对 已 经 过 测试 且 应 用 程序 需要 的 程序 启用 执行 权限 。 


@ 


单 击 “ 确 定 ”按钮 ， 保 存 设置 。 


[261 1 


图 7-8 “处 理 程序 映射 ”窗口 图 7-9 “编辑 功能 权限 ”对 话 框 


2. 设置 请 求 限制 


如 果 希 望 处 理 程序 只 响应 对 特定 资源 类 型 的 请 求 (例如 文件 或 文件 夹 ， 或 者 对 特定 谓词 的 请 求 )]， 则 可 
以 为 处 理 程序 映射 配置 可 选 限制 ， 也 可 以 指定 处 理 程序 需要 具有 何 种 访问 权限 才能 在 虚拟 目录 中 运行 。 处 
理 程序 所 需 的 访问 权限 设置 以 及 “处 理 程序 映射 ”功能 的 访问 策略 ， 共 同 决定 了 处 理 程序 能 否 运行 。 
名 ”在 “处 理 程序 映射 ”窗口 中 ， 双 击 希望 设置 请 求 限制 的 应 用 程序 名 称 (以 ASPClassic 为 例 )， 打 开 
如 图 7-10 所 示 的 “编辑 脚本 映射 ”对 话 框 。 
@ 单 击 “ 请 求 限制 ”按钮 ， 打 开 “ 请 求 限制 ”对 话 框 ， 默 认 显示 如 图 7-11 所 示 的 “映射 ”选项 卡 。 
如 果 希 望 处 理 程序 仅 响应 针对 特定 资源 类 型 的 请 求 ， 则 可 以 选中 “ 仅 当 请 求 映射 至 以 下 内 容 时 才 
调用 处 理 程序 ” 复 选 框 ， 并 选择 以 下 选项 : 
时 “文件 ”， 用 于 使 处 理 程序 仅 在 所 请 求 的 目标 资源 是 文件 时 才 做 出 响应 。 
里 “文件 夹 ”， 用 于 使 处 理 程序 仅 在 所 请 求 的 目标 资源 是 文件 夹 时 才 做 出 响应 。 
时 “文件 或 文件 来 ”， 用 于 使 处 理 程序 仅 在 所 请 求 的 目标 资源 是 文件 或 文件 夹 时 才 做 出 响应 。 


图 7-10 “编辑 脚本 映射 ”对 话 框 图 7-11 “了 映射 ”选项 卡 


图 切换 至 如 图 7-12 所 示 的 “谓词 ”选项 卡 ， 可 以 选择 以 下 选项 : 
“全 部 谓词 ”， 如 果 选 择 此 选项 ， 则 不 论 请 求 中 发 送 的 谓词 如 何 ， 处 理 程序 均 对 请 求 做 出 响应 。 
里 ““ 下 列 谓词 之 一 ”， 如 果 选 择 此 选项 ， 则 处 理 程序 将 响应 包含 特定 谓词 的 请 求 。 然 后 ， 请 在 对 应 
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的 框 中 输入 一 个 或 多 个 谓词 。 


切换 至 如 图 7-13 所 示 的 “访问 ”选项 卡 ， 可 以 选择 下 列 选 项 : 

“无 ”， 如 果 选 择 此 选项 ， 即 使 在 未 启用 任何 访问 策略 选项 的 情况 下 ， 处 理 程 序 也 将 运行 。 

“ 读 取 ”， 如 果 选 择 此 选项 ， 则 处 理 程序 会 在 访问 策略 中 启用 了 “ 读 取 ” 的 情况 下 运行 。 

“ 写 入 ”， 如 果 选 择 此 选项 ， 则 处 理 程序 会 在 访问 策略 中 启用 了 “ 写 入 ”的 情况 下 运行 。 
“脚本 ”， 如 果 选 择 此 选项 ， 则 处 理 程序 会 在 访问 策略 中 启用 了 “脚本 ”的 情况 下 运行 。 这 是 默 
认 选 项 。 

里““ 执 行 ”， 如 果 选 择 此 选项 ， 则 处 理 程序 会 在 访问 策略 中 启用 了 “执行 ”的 情况 下 运行 。 


nan 


图 7-12 “谓词 ” 选项 卡 图 7-13 “访问 ”选项 卡 


请 确保 处 理 程序 所 需 的 访问 权限 设置 正确 无 误 ， 否 则 处 理 程序 将 可 能 在 无 意 中 运行 。 例 如 ， 如 果 为 
ISAPI-dll 处 理 程 序 将 处 理 程 序 所 需 的 访问 权限 从 “执行 ”更 改 为 “ 读 取 ”， 那 么 ， 即 使 在 功能 的 访问 策略 
中 仅 启用 了 “ 读 取 ”，ISAPI 扩展 也 将 能 够 运行 。 


回 单 击 “确定 ”按钮 ， 保 存 设置 。 


7.2.3 ”授权 规则 


通过 配置 Web 站 点 的 授权 规则 ,可 以 指定 允许 授权 用 户 访问 网 站 和 应 用 程序 的 规则 , 例如 允许 或 拒绝 
指定 用 户 或 组 访问 网 站 等 。 这 种 授权 规则 ， 可 以 是 基于 用 户 账户 或 组 的 ， 也 可 以 是 基于 应 用 程序 角色 的 。 

@ 在 “Internet 信息 服务 (IIS) 管 理 器 ”的 “Default Web Site 主页 ”窗口 中 ， 双 击 “ 授 权 规则 ”图 标 ， 
显示 如 图 7-14 所 示 的 “授权 规则 ”窗口 ， 系 统 默认 已 经 创建 了 一 条 允许 所 有 用 户 访问 该 站 点 的 
规则 。 

@ 在 “操作 ” 栏 中 单 击 “ 添 加 拒绝 规则 ”链接 ， 显 示 如 图 7-15 所 示 的 “添加 拒绝 授权 规则 ”对 话 框 ， 
选择 “所 有 匿名 用 户 ” 单 选 按 钮 ， 拒 绝 所 有 匿名 用 户 对 该 站 点 的 访问 。 选 中 “将 此 规则 应 用 于 特 
定 谓词 ” 复 选 框 ， 还 可 以 设置 相关 描述 信息 ， 如 “拒绝 所 有 匿名 用 户 访 问 ”。 


提示 : 如 果 选 择 “ 指 定 的 角色 或 用 户 组 ”或 “指定 的 用 户 ” 单 选 按钮 ， 则 需要 在 对 应 文本 框 中 ， 输 入 对 
应 的 组 名 称 或 用 户 账户 名 称 。 


图 单 击 “ 确 定 ”按钮 ， 即 可 将 新 建 规则 添加 到 “授权 规则 ”列表 中 ， 如 图 7-16 所 示 。 管 理 员 也 可 以 


直接 选择 默认 授权 规则 ， 单 击 “ 编 辑 ” 链 接 ， 来 生成 自己 需要 的 新 规则 。 添 加 允许 授权 规则 的 方 
法 与 此 完全 相同 ， 此 处 不 再 袭 述 。 
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图 7-14 “授权 规则 ”窗口 图 7-15 “添加 拒绝 授权 规则 ”对 话 框 


图 7-16 创建 成 功 的 授权 规则 


© 注意 ;如 果 某 个 角色 、 用 户 或 组 已 经 被 某 条 规则 明确 拒绝 了 访问 权限 ， 则 不 能 由 另 一 条 规则 授予 访问 权 
限 。 另 外 ， 当 配置 基于 net 应 用 程序 角色 和 .net 用 户 账户 的 授权 规则 时 ， 需 要 借助 SQL Server 2005/2008 
方 可 实现 。 


7.2.4 1IPv4 地 址 控制 
默认 情况 下 ，IIS 会 自动 检查 每 个 来 访 者 的 IP 地 址 ， 通 过 IP 地 址 的 访问 来 防止 或 允许 某 些 特定 的 计算 
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机 、 域 ， 甚至 整个 网 络 访问 站 点 。 因 此 , 通过 IP 地 址 限制 的 方法 在 Internet 上 排除 未 知 用 户 是 非常 有 效 的 。 


同时 ，IIS 7.0 还 提供 了 基于 Windows 域 的 访问 限制 ， 
能 默认 是 未 启用 的 。 


或 目录 ， 该 功 


管理 员 可 以 禁止 或 允许 来 自 指定 域 的 用 户 ， 


访问 站 点 


@ 在 “Internet 信息 服务 (IIS) 管 理 器 ”的 “Default Web Site 主页 ”窗口 中 ， 双 击 “IPv4 地 址 和 域 限 


制 ” 图 标 ， 


显示 如 图 7-17 所 示 的 “IPv4 地 址 和 域 限制 ”窗口 。 
回 单 击 “ 添 加 允许 条 目 ” 链 接 , 打开 “添加 允许 限制 规则 ”对 话 框 。 


系统 默认 选择 “特定 IPv4 地 址 ” 


单 选 按钮 ， 在 对 应 文本 框 中 ， 输 入 想 要 允许 访问 的 单个 IP 地 址 即 可 。 建 议 选择 “IPv4 地 址 范围 ” 
单 选 按钮 ， 并 输入 相应 的 主机 IP 地 址 和 “ 掩 码 ”， 


如 图 7-18 所 示 ， 可 以 同时 添加 多 个 被 允许 访 


问 的 主机 IP 地 址 。 
=Iolx) 
i MD 0 - 
| LE 
|@- 日 | 去 | 一 @ IPv4 地 址 和 域 限制 二 
了 pi pe es 
ps ee 
所 Fn5u 二 二 过 闪光 和 、 加 多 六 限制 规则 EE 
日 名 TEN 
生硬 eet sient CE 
EE 本 
Ear 
Ms==i 到 
4 ,| rm) A 


Rs "looslhoet” ppt ents onloet entse , Choostion poe Betonlt Ho Site 


7-17 


“IPv4 地 址 和 域 限制 ”窗口 


单 击 “ 确 定 ”按钮 ， 新 创建 的 限制 规则 即 可 被 添加 到 “IPv4 地 址 和 域 限制 ”列表 中 。 
条 目 ” 的 操作 步骤 与 之 类 似 ， 此 处 不 青 著述 。 

在 “操作 ” 栏 中 单 击 “编辑 功能 设置 ”链接 ， 显 示 如 图 7-19 所 示 的 “编辑 IP 和 域 限 制 设置 ”对 
话 框 ， 用 户 还 可 以 根据 域名 来 限制 要 访问 的 计算 机 。 在 “未 指定 的 客户 端的 访问 权 ” 下 拉 列 表 框 
中 ,设置 除 指定 的 IP 地 址 外 的 客户 端 ， 访问 该 网 站 时 进行 操作 ,用户 可 以 根据 需要 在 下 拉 列 表 框 
中 ， 选 择 “ 人 允许” 或 “拒绝 ”选项 。 若 选中 “启用 域名 限制 ” 复 选 框 ， 即 可 启用 域名 限制 。 需 要 


图 7-18 “添加 允许 限制 规则 ”对 话 框 


“添加 拒绝 


注意 的 是 ， 通 过 域名 限制 访问 会 要 求 DNS 反 向 查找 每 一 个 连接 ， 这 将 会 严重 影响 服务 器 的 性 能 ， 
建议 不 要 使 用 。 

. 
在 “操作 ” 栏 中 单 击 “ 恢 复 为 继承 的 项 ”链接 ， 显 示 如 图 pr 


7-20 所 示 的 “IPv4 地 址 和 域 限制 ”对 话 框 ， 恢 复 功 能 以 从 
配置 中 继承 设置 ， 该 操作 将 为 当前 功能 删除 本 地 配置 设 
置 (包括 列表 中 的 项 目 )， 应 慎重 使 用 。 

在 “操作 ” 栏 中 单 击 “ 查 看 经 过 排序 的 列表 ”链接 ， 显 示 而 元 1 

如 图 7-21 所 示 的 窗口 。IIS 7.0 是 按照 限制 规则 列表 中 条 目 

的 顺序 依次 执行 的 。 例 如 ， 当 前 规则 列表 中 包括 两 条 限制 条 目 : 拒绝 IP 地址 为 192.168.1.21 的 主 

机 访问 ， 人 允许 整个 192.168.1.1 一 192.168.1.254 网 段 访问 ， 即 被 拒绝 的 IP 地 址 192.168.1.21 又 

在 被 允许 访问 的 网 段 内 。 此 时 ， 如 果 经 过 排序 后 拒绝 在 先 ， 则 将 拒绝 指定 用 户 访问 ;如 果 人 允许 在 


“编辑 IP 和 域 限制 设置 ”对 话 框 
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@ s 安全 内 幕 


先 则 将 允许 该 用 户 访问 。 


FETIEITTII 


ealhastm sppli eat enort eenfig , Clocation patyc latelt Heh site 
图 7-20 “IPv4 地 址 和 域 限制 ”对 话 框 图 7-21 查看 经 过 排序 的 列表 
@ ”在 经 过 排序 的 限制 列表 中 ， 选 择 想 要 移动 的 限制 条 目 ， 单 击 “ 上 移 ” 或 “下 移 ” 链 接 ， 即 可 调整 
执行 顺序 。 
7.2.5 IP 转发 安全 


IIS 服务 可 提供 IP 数据 包 的 转发 功能 ， 此 时 ， 充 当 路 由 器 角色 的 IIS 服务 器 将 会 把 从 Internet 接口 收 到 
的 了 PP 数据 包 转 发 到 内 部 网 中 。 在 此 。 为 了 提高 IIS 服务 的 安全 性 ， 应 当 禁 用 IP 转发 功能 。 

要 设置 TCP/IP 转发 需要 编辑 注册 表 。 需要 注意 的 是 , 修改 注册 表 有 一 定 的 危险 性 ， 如 果 编 辑 不 当 就 会 
造成 系统 故障 ， 因 此 ， 应 事先 备份 注册 表 。 

运行 Regeditexe 命令 打开 注册 表 编 辑 器 ， 展 开 注 册 表 项 HKEY LOCAL MACHINENSYSTEMN 
CurrentControlSet\Services\Tcpip\Parameters\， 在 右 侧 窗口 中 找到 IPEnableRouter 项 ， 双 击 打 开 ， 如 果 
其 数值 为 1， 此 时 应 改 为 0， 如 图 7-22 所 示 。 单 击 “ 确 定 ” 按 钮 ， 关 闭 注册 表 编辑 器 即 可 。 


7-22 禁用 IP 转发 安全 
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7.2.6 SSL 安全 


SSL 安全 功能 可 以 通过 对 传输 信息 进行 加 密 ， 实 现 Web 客户 端 与 Web 服务 端的 安全 传输 ， 避 免 数 据 
被 中 途 截获 和 算 改 。 对 于 安全 性 要 求 很 高 的 、 可 交互 性 的 Web 网 站 ， 建 议 采 用 SSL 加 密 方式 。 若 欲 实现 
SSL 通讯 ，Web 服务 器 必须 拥有 有 效 的 服务 器 证 书 。 

1. Web 服务 器 端 设置 

要 想 为 站 点 启用 SSL 安全 保护 ， 必 须 在 服务 器 端 创建 用 于 SSL 加 密 的 证 书 和 启用 SSL 设置 。 

(D 创建 服务 器 证 书 

“服务 器 证 书 ” 包 含 关于 服务 器 的 信息 ， 服 务 器 允许 客户 在 共享 敏感 信息 之 前 ， 对 其 加 以 积极 识别 ， 

WWW 服务 器 只 有 安装 有 效 服务 器 证 书后 ， 才 拥有 安全 通信 功能 。 

@ 在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 中 ， 选 择 希望 使 用 SSL 安全 加 密 的 站 点 ， 双 击 “ 服 务 器 
证 书 ” 图 标 ， 显 示 如 图 7-23 所 示 的 “服务 器 证 书 ” 窗 格 。 安 装 IIS 7.0 过 程 中 ， 系 统 已 经 自动 创 
建 了 一 个 服务 器 证 书 ， 管 理 员 可 以 直接 应 用 该 证 书 ， 也 可 以 导入 已 有 证 书 ， 或 者 创建 新 的 证 书 。 
这 里 选择 “创建 自 签名 证 书 ”， 各 项 操作 功能 含义 如 下 : 

”导入 。 还 原 已 丢失 或 损坏 、 但 之 前 已 备份 的 服务 器 证 书 ， 也 可 以 应 用 来 自 其 他 用 户 或 证 书 颁发 机 
构 的 证 书 。 

”创建 证 书 申请 。 如 果 网 络 存在 第 三 方 证 书 颁发 机 构 (CA， 即 证 书 服务 器 )， 可 以 通过 这 种 方法 向 证 
书 服务 器 提交 证 书 申请 ， 通 过 审核 后 即 可 获得 属于 自己 的 服务 器 证 书 。 
@ 完成 证 书 申请 。 安 装 从 证 书 颁 发 机 构 接收 到 的 证 书 ， 并 开始 应 用 。 
里 “创建 域 证 书 。 向 内 部 证 书 颁发 机 构 提 供 有 关 当 前 服务 器 的 信息 。 
时 ”创建 自 签名 证 书 。 创 建 仅 在 服务 器 测试 环境 中 使 用 、 并 且 可 用 于 排除 第 三 方 证 书 故障 的 证 书 ， 无 
需 向 第 三 方 服务 器 提交 和 等 待 批准 。 

”查看 。 查 看 所 选 证 书 的 详细 信息 。 

里 导出。 导出 所 选 证 书 的 备份 ， 可 以 继续 应 用 于 其 他 目标 服务 器 ， 或 保存 为 备份 ， 以 便 重新 安装 服 
务 器 或 证 书 损坏 后 ， 可 以 快速 导入 。 

时 删除。 删除 选择 的 证 书 。 

@ 在 右 侧 “操作 ” 栏 中 ， 单 击 “ 创 建 自 签名 证 书 ” 链 接 ， 显 示 如 图 7-24 所 示 的 “创建 自 签名 证 书 ” 
对 话 框 。 在 “为 证 书 指定 一 个 好 记 的 名 称 ”文本 框 中 ， 输 入 服务 器 证 书 的 文件 名 。 

图 单 击 “ 确 定 ” 按 钮 ， 创 建 自 签名 证 书 完成 ， 新 创建 的 证 书 即 可 显示 在 列表 中 ， 选 中 创建 成 功 的 自 
签名 服务 器 证 书 “safe site”， 单 击 “查看 ”链接 ， 显 示 如 图 7-25 所 示 的 “证 书 ” 对 话 框 。 在 这 
里 可 以 查看 该 证 书 的 名 称 、 颁 发 者 、 颁 发 给 、 到 期 日 期 和 证 书 哈 希 等 详细 信息 。 

@ 在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 的 “网 站 ”列表 中 ， 右 击 希望 应 用 此 证 书 的 站 点 (注意 ， 

必须 是 https 站 点 ]， 选 择 快捷 菜单 中 的 “编辑 绑 定 ”选项 ， 显 示 如 图 7-26 所 示 的 “网 站 绑 定 ”对 话 框 。 

回 ”选中 https 站 点 并 单 击 “编辑” 按钮 ， 显 示 如 图 7-27 所 示 的 “编辑 网 站 绑 定 ”对 话 框 ，“IP 地 址 ” 

和 “端口 ”设置 保持 默认 即 可 。 在 “SSL 证 书 ” 下 拉 列 表 中 , 选择 刚刚 创建 的 自 签名 证 书 safe_site。 

单 击 “ 确 定 ”按钮 ， 返 回 “ 网 站 绑 定 ”对 话 框 。 单 击 “ 关 闭 ” 按 钮 保存 设置 并 退出 。 

(2] 启用 SSL 设置 

在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 中 ， 如 图 7-28 所 示 单 击 需要 启用 SSL 设置 的 站 点 ， 并 在 主 窗 
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四 -ED 


口中 双击 “SSL 设置 ”图 标 ， 显 示 如 图 7-28 所 示 的 “SSL 设置 ” 窗 格 。 


图 7-23 “服务 器 证 书 ” 窗 格 图 7-24 “创建 自 签 名 证 书 ”对 话 框 


有 小 相反 日期 ooofio/er 到 oos/icfzT 
人 个 有 一 个 与 说 正 书 对 应 的 季 币 。 


图 7-25 “证 书 ”对 话 框 图 7-26 “网 站 绑 定 ” 对 话 框 


Es 6 ss 
ES 

a] 

抽风 


全 过 委 四 


图 7-27 “编辑 网 站 绑 定 ”对 话 框 图 7-28 “SSL 设置 ” 窗 格 
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选中 “要 求 SSL” 复 选 框 ， 以 启用 40 位 数据 加 密 方法 ， 该 方法 可 以 用 来 帮助 确保 服务 器 与 客户 端 之 间 
传输 的 安全 性 。 该 选项 设置 既 可 用 于 Intranet 环境 , 也 可 用 于 Internet 环境 。 如 果 选 中 “需要 128 位 SSL”， 
则 安全 性 更 高 ， 不 过 传输 加 密 数 据 所 需 的 带宽 也 将 随 之 增加 。 

在 “客户 证 书 ”选项 框 中 选择 “接受 ” 单 选 按钮 ， 即 可 启用 服务 器 端的 SSL 设置 ， 接 受 客户 端 证 书 ( 若 
提供 )， 在 允许 客户 端 获得 内 容 访问 权限 之 前 验证 客户 端 身份 。 系 统 默 认 选 择 “ 忽 略 ” 单 选 按钮 ， 即 如 果 提 
供 客户 端 证 书 ， 则 该 设置 不 会 接受 ， 因 此 该 设置 的 安全 性 最 低 。 如 果 选 择 “必要 ” 单 选 按钮 ， 则 在 接受 用 
户 访问 之 前 要 求 提供 对 应 证 书 ， 验 证 客户 端 身份 的 有 效 性 。 

设置 完成 后 ， 在 “操作 ” 栏 中 单 击 “ 应 用 ”链接 即 可 应 用 设置 。 

2. 客户 端 设置 
用 户 访问 使 用 SSL 协议 加 密 的 站 点 或 网 页 ， 与 访问 普通 站 点 略 有 不 同 。 首 先 ， 使 用 加 密 传输 的 站 点 使 
用 https:// 开 头 的 URL; 其 次 ， 用 户 必须 连接 到 站 点 指定 的 证 书 服务 器 ， 获 取 相 关 数 字 证 书 并 安装 。 


7.2.7 ”审核 1IS 日 志 记录 


服务 器 上 的 每 个 Web 站 点 ,运行 过 程 中 都 会 产生 相应 的 日 志 信息 ， 用 于 记录 服务 器 的 运行 情况 、 客 户 
端 访 问 情况 等 。IIS 日 志 数据 可 以 记录 用 户 对 站 点 内 容 的 访问 ， 确 定 哪些 内 容 比 较 受 欢迎 ， 还 可 以 记录 有 哪 
些 用 户 非法 入 侵 网 站 、 确 定 计划 安全 要 求 和 排除 潜在 的 网 站 问题 等 。 使 用 HS 的 日 志 功能 ， 可 以 配置 IIS 在 
Web 服务 器 上 记录 请 求 的 方式 。 

@ 在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 的 站 点 (以 Default Web Site 站 点 为 例 ) 主 页 中 ， 双 击 “日 
志 ” 图 标 ， 显 示 如 图 7-29 所 示 的 “日 志 ” 窗 格 。 系 统 默认 状态 是 为 每 个 站 点 创建 一 个 日 志文 件 ， 
管理 员 可 以 在 服务 器 配置 主页 的 “日 志 ” 窗 格 中 ， 将 其 修改 为 : 为 每 服务 器 创建 一 个 日 志文 件 。 

@@ 在 “日 志文 件 ”选项 框 的 “格式 ”下 拉 列 表 中 ， 选 择 “W3C” 选 项 ，IIS 7.0 可 以 提供 4 种 日 志文 
件 格式 : 

日 。”W3C。W3C 扩展 日 志文 件 格式 ， 是 一 个 包含 多 个 不 同属 性 、 可 自 定义 的 ASCII 格式 ， 可 以 记录 重 
要 的 属性 ， 并 通过 省 略 不 需要 的 属性 字段 来 限制 日 志文 件 的 大 小 。 各 属性 字段 以 空格 分 开 ， 时 间 
以 UTC 形式 记录 。 

NCSA。NCSA 是 美国 国家 超级 计算 技术 应 用 中 心 公用 格式 ， 是 一 种 固定 的 (不 能 自 定义 的 )ASCII 格 
式 ， 记 录 了 关于 用 户 请 求 的 基本 信息 ， 如 远程 主机 名 、 用 户 名 、 日 期 、 时 间 、 请 求 类 型 、HTTP 
状态 码 和 服务 器 发 送 的 字 节 数 。 项 目 之 间 用 空格 分 开 ， 时 间 记 录 为 本 地 时 间 。 

”IIS。IIS 日 志文 件 格 式 是 固定 的 (不 能 自 定 义 的 ]ASCII 格式 。IIS 格式 比 NCSA 公用 格式 记录 的 信息 
多 。IIS 格式 包括 一 些 基本 项 目 ， 如 用 户 的 IP 地 址 、 用 户 名 、 请 求 日 期 和 时 间 、 服 务 状态 码 和 接 
收 的 字 节 数 。 另 外 ，IIS 格式 还 包括 详细 的 项 目 ， 如 所 用 时 间 、 发 送 的 字 节 数 、 动 作 (例如 ，GET 
命令 执行 的 下 载 ) 和 目标 文件 .这 些 项 目 用 逗号 分 开 , 使 得 格式 比 使 用 空格 作为 分 隔 符 的 其 他 ASCII 
格式 更 易于 阅读 。 时 间 记录 为 本 地 时 间 。 

时 自 定义 。 将 IIS 配置 为 对 自 定义 的 日 志 记录 模块 使 用 自 定义 格式 。 如 果 选 择 此 选项 ， 则 “日 志 ” 
页 将 被 禁用 ， 因 为 无 法 在 IIS 管理 器 中 配置 自 定义 日 志 。 

图 单 击 “ 选 择 字段 ”按钮 ， 显 示 如 图 7-30 所 示 的 “W3C 日 志 记 录 字 段 ”对 话 框 ， 用 户 根据 实际 需 
要 进行 设置 即 可 。 
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有 中: 
zzz 


图 7-29 “日 志 ” 窗 格 图 7-30 “W3C 日 志 记录 字段 ”对 话 框 


在 “目录 ”文本 框 中 ， 单 击 “ 浏 览 ”按钮 ， 设 置 日 志文 件 的 保存 位 置 ， 默 认 保 存 目 录 为 : 
%SystemDrive%\inetpub\logs\LogFiles. 

在 “日 志文 件 滚动 更 新 ”选项 框 中 ， 设 置 创建 新 日 志文 件 的 方式 。 包 括 ; 

计划 。 可 以 固定 的 时 间 更 新 日 志 ， 例 如 每 天 更 新 。 

最 大 文件 大 小 。 当 日 志文 件 达到 该 大 小 时 ， 自 动 更 新 日 志文 件 。 

不 创建 新 的 日 志文 件 。 将 所 有 的 网 站 日 志 记录 全 部 记录 到 单个 文件 中 。 

在 Windows Server 2008 系统 中 ， 管 理 员 可 以 通过 “事件 查看 器 ”， 管 理 和 查看 Web 服务 器 和 站 
点 日 志 ， 如 图 7-31 所 示 。 


@" 四 © 


2008/6/17 17:58:47 
2008/6/17 17:10:09 
2008/8/17 16:55:58 
2008/6/17 16:34:24 
2008/8/17 15:52:39 
2008/6/17 15:51:52 
2008/6/17 8:19:37 


2008/8/18 19:12:30 


图 7-31 查看 Web 服务 器 事件 日 志 
@ ”设置 完成 后 ， 在 “操作 ” 栏 中 单 击 “ 应 用 ”链接 ， 保 存 设置 。 
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根据 日 志文 件 所 在 的 目录 ， 找 到 并 打开 日 志文 件 ， 即 可 看 到 该 日 志文 件 记录 的 内 容 ， 如 图 7-32 所 示 。 
根据 日 志文 件 中 记录 的 内 容 ， 便 可 得 知 访问 该 站 点 的 用 户 的 详细 情况 ， 如 IP 地 址 、 所 访问 过 的 文件 等 ， 还 
可 以 查 出 有 哪些 人 非法 入 侵 过 ， 并 根据 入 侵 情况 来 查询 入 侵 者 地 址 ， 或 者 加 强 网 站 的 安全 措施 。 


et 3 
四， 编辑 中) 格式 中) 查看 W) 帮助 0 


ername c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status 


time-taken 
|2008-10-28 01:12:26 127.0.0.1 GET / - 80 - liuxh Wozilla/4. 0+ 
(compatible; HSIE+7. 0; +Windoms+NT+6. 0;+SLCC1;+. NET+CLR+2. 0. 50727) 200 0 


0 1390 

|2008-10-28 01:12:26 127.0.0.1 GET /welcome.png - 80 - liuzh 

lozilla/4. 0+ 

(compatible;+ESIE+7. 0; tHindowstNT+6. 0;+SLCC1 ;+. NETHCLR+2. 0. 50727) 200 0 
5 


0 12: 
12008-10-28 01:12:27 127.0.0.1 GET /favicon ico - 80 - liuxh 
ozilla/4. 0+ 

(compatible; HSIE+7. 0;+Windows+NT+6. 0;+SLCC1;+. NET+CLR+2. 0. 50727) 404 0 
2 125 


图 7-32 日 志文 件 的 内 容 


注意 : 切 勿 混淆 IIS 站 点 活动 日 志 与 Windows Server 2008 事件 记录 ,IIS 中 的 日 志 记录 功能 用 来 记录 用 户 
与 Web 服务 器 间 的 活动 ， 而 Windows 日 志 用 来 记录 Windows 系统 中 的 活动 情况 ， 可 以 通过 使 用 “事件 
查看 器 ”来 查看 。 


7.2.8 设置 内 容 过 期 


“设置 内 容 过 期 ”是 Web 服务 器 重要 的 安全 防护 措施 之 一 。 对 于 时 效 性 较 强 的 数据 信息 (如 会 议 通知 、 
产品 报价 等 )， 可 以 通过 设置 内 容 过 期 来 更 新 所 发 布 的 内 容 。 浏 览 器 会 自动 比较 当前 日 期 与 截止 日 期 ， 如 果 
发 现 内 容 已 过 期 则 不 再 发 布 该 数据 ， 客 户 端 也 不 会 显示 缓存 页 而 是 从 服务 器 更 新 。 
@ 在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 的 站 点 (以 Default Web Site 站 点 为 例 ) 主 页 中 , 双击 “HTTP 
响应 标 头 ”图 标 ， 显 示 如 图 7-33 所 示 的 “HTTP 响应 标 头 ”窗口 。 
@ 在 “操作 ” 栏 中 ， 单 击 “ 设 置 常用 标 头 ”链接 ， 显 示 如 图 7-34 所 示 的 “设置 常用 HTTP 响应 头 ” 
对 话 框 。 系 统 默认 并 未 设置 内 容 过 期 ， 选 中 “使 Web 内 容 过 期 ” 复 选 框 ， 并 设置 相应 过 期 方式 即 
可 。 包 括 如 下 选项 : 
”立即 。 使 内 容 在 传送 后 立即 过 期 ， 该 选项 适用 于 包含 不 希望 放 入 缓存 或 频繁 更 新 的 敏感 信息 的 
内 容 。 
”之 后 。 设置 内 容 在 过 期 之 前 经 过 的 时 间 ， 适 用 于 定期 更 新 的 内 容 ( 如 每 日 或 每 周 更 新 的 内 容 ]。 首 
先 在 对 应 的 框 中 输入 值 ， 然 后 从 列表 中 选择 适当 单位 即 可 ， 如 : “ 秒 ”、“ 分 钟 ”、“ 小 时 ”、 
Sy 
和 ”时间 。 设 置 内 容 过 期 时 的 准确 日 期 和 时 间 ， 适 用 于 不 希望 频繁 更 改 的 内 容 。 
@ 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 
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图 7-33 “HTTP 响应 标 头 ”窗口 图 7-34 “设置 常用 HTTP 
响应 头 ” 对 话 框 


7.2.9 内 容 分 级 设置 


IIS 7.0 中 的 托管 模块 设计 给 管理 员 的 工作 提供 了 极 大 的 便利 。.NET 信任 级 别 功能 可 以 托管 模块 、 处 理 
程序 和 应 用 程序 指定 信任 的 级 别 。 通 过 用 户 组 可 以 对 一 组 用 户 进行 分 类 ， 并 对 定义 的 用 户 组 执行 与 安全 相 
关 的 操作 。 需 要 注意 的 是 ， 设 置信 任 级 别 之 前 ， 必 须 先 在 “.NET 用 户 ” 窗 口中 ， 添 加 相关 的 用 户 角 色 ， 该 
功能 需要 SQL Server 2005 数据 库 的 支持 。 

中 在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 的 站 点 (以 Default Web Site 站 点 为 例 ] 主 页 中 , 双击 “.NET 

信任 级 别 ” 图 标 ， 显 示 如 图 7-35 所 示 的 “.NET 信任 级 别 ” 窗 格 。 


图 7-35 “.NET 信任 级 别 ” 窗 格 
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@ 在 “信任 级 别 ” 下 拉 列 表 中 ， 选 择 适当 的 信任 级 别 即 可 ， 系 统 默认 为 “Full(internal) ”级 别 。 各 
个 信任 级 别 的 具体 含义 如 下 。 

和 ”Full(internal) 级 别 。 指 定 不 受 限 制 的 权限 。 授 予 ASP.NET 应 用 程序 权限 ， 以 便 允 许 访 问 任何 符合 
操作 系统 安全 性 的 资源 ， 支 持 所 有 特许 操作 。 该 信任 级 别 是 用 于 内 部 网 络 的 Web 站 点 ， 安 全 性 
最 低 。 

mm High(web_hightrust.config)。 指 定 高 级 别 的 代码 访问 安全 性 ， 表 示 在 默认 情况 下 ， 应 用 程序 无 法 
执行 下 面 任何 一 项 操作 : 

调用 非 托 管 代 码 。 

调用 服务 组 件 。 

向 事件 日 志 中 写 入 内 容 。 

访问 消息 队列 服务 队列 。 

访问 ODBC、OleDb 或 Oracle 数据 源 。 

ms Medium(web_mediumtrust.config)。 指 定 中 等 级 别 的 代码 访问 安全 性 ， 即 默认 情况 下 ， 除 了 高 信 
任 级 别 的 限制 以 外 ，ASP.NET 应 用 程序 还 无 法 执行 下 面 任何 一 项 操作 : 

e ”访问 应 用 程序 目录 范围 之 外 的 文件 。 
e 访问 注册 表 。 
e ”进行 网 络 或 Web 服务 调用 。 

里 Low(web lowtrust.config)。 指 定 低级 别 的 代码 访问 安全 性 ， 表 示 在 默认 情况 下 ， 除 了 中 等 信任 级 
别 的 限制 以 外 ， 该 应 用 程序 还 无 法 执行 下 面 任何 一 项 操作 : 

。 ”向 文件 系统 中 写 入 内 容 。 
e@ ”调用 Assert 方法 。 

Minimal(web_minimaltrust.config)。 指 定 最 低级 别 的 代码 访问 安全 性 ， 这 表明 该 应 用 程序 只 具有 
执行 权限 ， 安 全 级 别 最 高 

@ 在 “操作 ” 栏 中 ， 单 击 “ 应 用 ”链接 ， 保 存 设 置 即 可 。 


7.2.10 注册 MIME 类 型 


MIME(Multipurpose Internet Mail Extensions) 即 多 功能 Internet 邮件 扩充 服务 , 这 是 一 种 保证 非 ASCII 
码 文件 在 Internet 上 传播 的 标准 。 如 果 Web 服务 器 中 没有 添加 相应 的 MIME 类 型 ， 则 用 户 无 法 访问 该 类 型 
的 文件 。 管 理 员 可 以 对 IIS 全 局 定义 MIME 类 型 ， 也 可 以 在 网 站 、 网 站 目录 和 网 站 虚拟 目录 级 别 上 定义 其 
他 的 MIME 类 型 。 
@ 在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 中 ， 选 择 希望 配置 的 站 点 或 目录 ， 双 击 “MIME 类 型 ”图 
标 ， 显 示 如 图 7-36 所 示 的 “MIME 类 型 ”窗口 ， 显 示 了 系统 已 经 集成 的 MIME 类 型 。 
@ 在 “操作 ”任务 栏 中 单 击 “ 添 加 ”按钮 ， 显示 如 图 7-37 所 示 的 “添加 MIME 类 型 ” 对话 框 。 在 “ 文 
件 扩展 名 ”文本 框 中 输入 欲 添加 的 MIME 类 型 ， 例 如 “.iso”，“MIME 类 型 ”文本 框 中 输入 文件 
扩展 名 所 属 的 类 型 。 
@ 单 击 “ 确 定 ” 按 钮 ，MIME 类 型 添加 完成 。 如 果 还 要 添加 其 他 MIME 类 型 ， 可 按 如 上 步骤 继续 操作 。 


SG 提示 : 如 果 希 望 处 理 所 有 文件 而 不 考虑 文件 扩展 名 ， 则 使 用 通配符 “#” 添 加 。 
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@ MIME 类 型 可 
pn 腿 相 卫 归 区 Err om 


图 7-36 “MIME 类 型 ”窗口 图 7-37 “添加 MIME 类 型 ”对 话 框 


7.3 FTP 服务 安全 


FTP 服务 主要 为 用 户 提供 上 传 和 下 载 功能 ， 客 户 端 既 可 以 从 服务 器 下 载 文件 到 客户 端 ， 也 可 以 从 客户 
端 将 文件 上 传 到 服务 器 , 利用 FTP 的 这 种 功能 ， 可 以 实现 软件 的 下 载 、 文 件 的 交换 与 共享 以 及 Web 站 点 的 
维护 等 。 基 于 IIS 组 件 的 FTP 服务 器 ， 操 作 简便 ， 运 行 稳定 ， 是 普通 用 户 的 首选 方案 。 安 装 IIS 7.0 过 程 中 ， 
默认 没有 安装 FTP 服务 ， 用 户 需 要 手动 添加 。FTP 服务 管理 仍然 采用 IIS 6.0 管理 控制 台 ， 因 此 必须 同时 安 
装 “IIS 6.0 管理 兼容 性 ”组 件 。 


7.3.1 设置 TCP 端口 


默认 状态 下 ，FTP 服务 器 使 用 TCP 21 端口 。 通 过 修改 服务 端口 也 可 以 达到 提高 服务 器 安全 的 目的 。 此 
时 ， 客 户 端 若 想 连接 到 FTP 服务 器 ， 不 仅 需要 指定 服务 器 的 IP 地 址 ， 还 需要 指定 所 使 用 的 端口 号 ， 虽 然 访 
问 过 程 有 些 繁琐 ， 但 可 以 从 一 定 程度 上 拒绝 客户 端 匿名 链接 。 建 议 为 安全 需求 较 高 的 FTP 服务 器 指定 特殊 
TCP 端口 。 re i 
在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 中 ， 展 开 “FTP 区 


站 点 ”项 , 右 击 “ 默 认 网 站 ”项 ,在 弹出 的 快捷 菜单 中 选择 “ 属 | sw me 
性 ”命令 ， 打 开 “ 默 认 FTP 站 点 属性 ”对 话 框 ， 如 图 7-38 in 民 
所 示 。 5 

如 果 需 要 在 拥有 单个 IP 地 址 的 服务 器 上 发 布 多 个 FTP 站 | | sse 一 
点 ， 则 也 可 以 通过 修改 FTP 站 点 的 TCP 端口 实现 ， 只 需 为 不 同 。 | | nam 
的 站 点 指定 相应 的 通信 端口 即 可 。 reese me 

如 果 修 改 了 默认 的 FTP 端口 ， 应 当 告 知 FTP 客户 ， 否 则 ， nn 
访问 请 求 将 无 法 连接 到 该 FTP 服务 器 。 例 如 ，FTP 服务 器 的 IP CE 


地 址 为 192.161.100.10，TCP 端口 默认 值 为 “21”， 此 时 用 户 。 图 7.38 “默认 FTP 站 点 属性 ”对 话 框 
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只 需 通过 客户 端 访问 ftp://192.161.100.10 即 可 访问 该 FTP 网 站 , 而 如 果 指定 了 非 “21? 的 端口 号 , 如 1080， 
则 只 有 访问 ftp://192.161.100.10:1080 时 ， 才 能 实现 对 该 网 站 的 访问 。 


7.3.2 ”连接 数量 限制 


当 FTP 服务 器 处 于 Internet 环境 中 ， 或 者 提供 大 量 的 文件 资源 时 ， 可 能 会 产生 大 量 的 用 户 并 发 访问 ， 
如 果 服 务 器 的 配置 比较 低 、 性 能 比较 差 或 Internet 接 入 带宽 比较 小 ， 则 很 容易 导致 系统 响应 迟缓 或 瘫痪 ， 
或 者 对 企业 的 其 他 Internet 服务 (如 Web 服务 、E-mail 服务 等 ) 造 成 严重 影响 ， 从 而 干扰 其 他 网 络 服务 的 正 
常 提供 。 尤 其 是 对 于 一 些小 型 企业 而 言 ， 一 般 会 在 一 台 服 务 器 上 除了 安装 FTP 服务 外 ， 同 时 还 提供 其 他 网 
络 服务 (如 Web、E-mail、Windows Media Services 等 )， 服 务 器 无 法 同时 处 理 过 多 的 并 发 访问 ， 从 而 导致 所 
有 服务 的 中 断 或 超时 。 因 此 ， 这 种 情况 下 ， 就 必须 对 FTP 连接 数量 进行 一 定 的 限制 。 
在 “FTP 站 点 ”选项 卡 的 “FTP 站 点 连接 ”选项 区 域 中 ， 可 以 设置 连接 是 否 受 限制 、 限 制 的 连接 数量 
及 连接 超时 ， 其 中 各 选项 的 作用 如 下 。 
和 ”不 受 限制 : 不 限制 连接 数量 。 适 用 于 的 服务 器 配置 和 网 络 带宽 都 较 高 ， 或 者 FTP 服务 仅 为 企业 网 
络 内 部 提供 访问 服务 。 
ms ”连接 限制 为 限制 同时 连接 到 该 站 点 的 连接 数量 ， 可 指定 该 FTP 站 点 所 允许 连接 的 最 大 数值 。 
ms ”连接 超时 : 设置 服务 器 断 开 未 活动 用 户 的 时 间 ( 以 秒 为 单位 ]， 从 而 确保 及 时 关闭 失败 的 连接 ， 或 
者 长 时 间 没 有 活动 的 连接 ,及 时 释放 系统 性 能 和 网 络 带 宽 , 减少 无 谓 的 系统 资源 和 网 络 资源 浪费 。 
默认 连接 超时 为 120 s。 


7.3.3 用 户 访问 安全 


由 于 FTP 站 点 中 往往 存储 着 非常 重要 的 文件 或 应 用 程序 ， 甚 至 是 Web 网 站 的 全 部 内 容 ， 所 以 ，FTP 
站 点 的 访问 安全 显得 尤其 重要 。 因 此 ， 对 于 一 些 比较 特殊 的 FTP 站 点 ， 必 须 进 行 用 户 身份 验证 ， 并 限制 多 
许 访问 该 FTP 服务 的 IP 地 址 ， 从 而 确保 FTP 站 点 的 安全 。 


1. 禁止 匿名 访问 


默认 状态 下 ，FTP 站 点 是 允许 用 户 进行 匿名 连接 的 ， 即 所 有 用 户 都 无 需 经 过 身份 认证 ， 就 可 以 查看 、 
读 取 并 下 载 FTP 站 点 上 的 所 有 内 容 。 如 果 FTP 站 点 中 存储 有 重要 的 或 比较 敏感 的 信息 ， 只 允许 授权 用 户 访 
问 ， 那 么 就 应 当 禁 用 匿名 访问 。 

@ 打开 FTP 站 点 属性 对 话 框 ， 切 换 至 “安全 账户 ”选项 卡 ， 取 消 选 中 “人 允许 匿名 连接 ” 复 选 框 ， 显 

示 如 图 7-39 所 示 的 “IIS6 管理 器 ”对 话 框 。 
回 单 击 “ 是 ”按钮 关闭“IIS6 管理 器 ”对 话 框 。 在 “安全 账户 ”选项 卡 中 ， 单 击 “ 确 定 ” 按 钮 ， 
即 可 禁止 用 户 匿 名 访问 该 FTP 站 点 ， 如 图 7-40 所 示 。 

当 禁 止 用 户 匿名 连接 后 ， 只 有 服务 器 或 活动 目录 中 有 效 的 账户 ， 才 能 通过 身份 认证 ， 并 实现 对 该 FTP 
站 点 的 访问 。 

除 禁 止 匿名 连接 外 , 还 可 以 在 本 地 计算 机 或 域 控制 器 上 , 创建 专用 于 FTP 连接 的 匿名 用 户 账户 (区 别 于 
系统 默认 的 IUSR_ 服务 器 名 账户 )， 对 其 在 FTP 主 目 录 或 单个 文件 夹 的 权限 进行 限制 , 实现 FTP 服务 器 的 安 
全 。 选 中 “人 允许 匿名 连接 ” 复 选 框 ， 单 击 “浏览 ”按钮 ， 选 择 指定 用 户 账户 即 可 。 单 击 “应 用 ”按钮 ， 系 
统 将 自动 添加 对 应 账户 的 密码 ， 如 图 7-41 所 示 。 如 果 选 择 “ 只 允许 匿名 连接 ” 复 选 框 ， 则 用 户 将 无 法 使 用 
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用 户 名 和 密码 登录 FTP 服务 器 。 此 选项 拒绝 访问 使 用 具有 管理 凭据 账户 的 那些 用 户 ， 而 只 为 使 用 匿名 访问 
账户 的 用 户 指派 访问 权限 。 


图 7-39 “IIS6 管理 器 ”对 话 框 图 7-40 “安全 账户 ”选项 卡 


2. 限制 IP 地 址 


通过 对 IP 地 址 的 限制 , 可 以 只 允许 或 拒绝 某 些 特定 范围 内 的 计算 机 访问 该 FTP 站 点 , 从 而 可 以 在 很 大 
程度 上 避免 来 自 外 界 的 恶意 攻击 ， 并且 将 授权 用 户 限制 在 某 一 个 范围 。 将 IP 地 址 限制 与 用 户 认证 访问 结合 
在 一 起 ， 将 进一步 提高 FTP 站 点 访问 的 安全 性 。 特 别 是 对 于 企业 内 部 的 FTP 站 点 而 言 ， 采 用 IP 地 址 限制 
的 方式 ， 是 非常 简单 而 有 效 的 。 

@ 打开 FTP 站 点 属性 对 话 框 ， 切 换 到 “目录 安全 性 ”选项 卡 ， 如 图 7-42 所 示 ， 选 择 “ 拒 绝 访问 ” 

单 选 按钮 ， 表 示 默 认 情况 下 所 有 计算 机 均 被 拒绝 访问 ， 只 有 将 要 添加 的 IP 地 址 用 户 可 以 访问 。 相 
反 ， 也 可 以 设置 为 默认 情况 下 所 有 计算 机 都 将 被 “允许 访问 ”， 然 后 创建 需要 拒绝 访问 的 IP 地 址 


图 7-41 更 改 匿名 连接 账户 图 7-42 “目录 安全 性 ”选项 卡 


加 单 击 “ 添 加 ”按钮 ， 显 示 如 图 7-43 所 示 的 “授权 访问 ”对 话 框 ， 默 认 选择 “一 台 计 算 机 ” 单 选 按 
钮 ， 每 次 只 能 添加 一 个 一 地址。 建议 选择 “一 组 计算 机 ” 单 选 按钮 ， 在 “网 络 标识 ”和 “ 子 网 掩 
码 ”文本 框 中 ， 输 入 相应 的 网 络 标识 信息 ， 添 加 一 个 网 段 内 的 所 有 IP 地 址 。 

图 单 击 “确定 ”按钮 ， 将 该 所 选 耳 地 址 或 IP 地 址 段 添加 至 “下 列 除 外 ”列表 中 ， 如 图 7-44 所 示 。 
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创建 “拒绝 访问 ”IP 地 址 列表 的 方法 与 之 相同 ， 此 处 不 再 袭 述 。 


图 7-43 “授权 访问 ”对 话 框 图 7-44 “创建 成 功 的 授权 访问 IP 地 址 
@ 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


7.3.4 文件 访问 安全 


在 FTP 站 点 属性 的 “ 主 目录 ”对 话 框 中 ,可 以 修改 文件 的 访问 权限 。 默认 情况 下 , 匿名 用 户 均 拥有 “ 读 
取 ” 权 限 ， 如 图 7-45 所 示 。 

若 欲 将 该 FTP 站 点 作为 为 匿名 用 户 提供 的 文件 下 载 服务 器 ， 
可 以 保持 系统 默认 设置 ， 即 允许 任何 用 户 匿名 访问 该 FTP 站 点 ， 
并 且 拥 有 读 取 该 FTP 站 点 的 权限 。 

若 欲 将 该 FTP 站 点 作为 为 授权 用 户 提供 的 文件 下 载 服务 器 ， 
可 以 赋予 该 站 点 主 目录 以 “ 读 取 ” 权 限 ， 禁 止 匿名 访问 ， 并 设置 
采用 何 种 方式 实施 身份 认证 。 

若 欲 将 该 FTP 站 点 作为 上 传 文件 服务 器 ， 则 应 当 赋 予 该 站 
点 “ 读 取 ”和 “ 写 入 ”权限 ， 禁 止 匿名 访问 ， 并 设置 采用 何 种 方 
式 实施 身份 认证 。 否 则 ， 所 有 匿名 用 户 都 将 拥有 “ 写 入 ”权限 ， 
从 而 造成 FTP 系统 安全 危机 。 

需要 注意 的 是 ， 在 设置 FTP 访问 权限 后 ， 还 必须 为 该 主 目 
录 设 置 NTFS 访问 权限 ， 以 确保 用 户 拥有 相应 的 访问 权限 。 同 时 ， 还 应 当 设置 磁盘 配额 ， 以 防止 被 授予 写 
权限 的 用 户 滥用 磁盘 空间 。 


图 7-45 “ 主 目录 ”选项 卡 


7.4 终端 服务 安全 


终端 服务 网 关 (TS 网 关 ] 可 以 使 授权 用 户 从 远程 任何 位 置 连接 到 Internet， 并 且 可 以 运行 远程 桌面 连接 
(RDC) 客 户 端 的 设备 ， 连 接 到 内 部 企业 网 络 或 专用 网 络 上 的 资源 。 网 络 资源 可 以 是 终端 服务 器 、 运 行 
RemoteApp 程序 的 终端 服务 器 或 启用 了 远程 桌面 的 计算 机 。 
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TS 网 关 概 述 


TS 网 关 使 用 HTTPS 上 的 远程 桌面 协议 (RDP) 在 Internet 上 的 远程 用 户 与 运行 其 生产 力 应 用 程序 的 内 部 
网 络 资源 之 间 建 立 安全 的 加 密 连接 。 
TS 网 关 有 许多 优点 ， 具 体 包 括 如 下 内 容 : 


通过 TS 网 关 ， 远 程 用 户 可 以 使 用 加 密 连 接 ， 通 过 Internet 连接 到 内 部 网 络 资源 ， 而 不 必 配 置 虚 
拟 专用 网 络 (VPN) 连 接 。 

TS 网 关 提供 全 面 的 安全 配置 模型 ， 可 以 控制 对 特定 内 部 网 络 资源 的 访问 。TS 网 关 提供 点 对 点 的 
RDP 连接 ， 而 不 是 允许 远程 用 户 访 问 所 有 内 部 网 络 资源 。 

通过 TS 网 关 ， 大 多 数 远程 用 户 可 以 连接 到 在 专用 网 络 中 的 防火 墙 后 面 或 跨 网 络 地 址 转换 程序 
(NAT) 托 管 的 内 部 网 络 资源 。 此 时 ， 通 过 TS 网 关 ， 不 必 对 TS 网 关 服务 器 或 客户 端 执行 其 他 配置 。 
通常 情况 下 ，Windows 系统 会 采用 安全 措施 来 阻止 远程 用 户 跨 防火 墙 和 NAT 连接 到 内 部 网 络 资 
源 。 这 主要 是 出 于 网 络 安全 考虑 , 通常 会 阻止 端口 3389( 用 于 RDP 连接 的 端口 )。TS 网 关 使 用 HTTP 
安全 套 接 字 层 /传输 层 安全 (SSL/TLS) 隧 道 将 RDP 通信 传输 到 端口 443。 这 主要 是 因为 ，443 端口 
默认 是 开启 状态 的 ， 所 以 TS 网 关 利 用 此 网 络 设计 提供 跨 多 个 防火 墙 的 远程 访问 连接 。 

通过 TS 网 关 管理 器 管理 单元 控制 台 可 以 配置 授权 策略 , 以 定义 远程 用 户 要 连接 到 内 部 网 络 资源 必 
须 满足 的 条 件 。 例 如 ， 可 以 指定 可 以 连接 到 内 部 网 络 资源 的 用 户 和 可 以 连接 到 的 网 络 资源 等 。 


车 要 正常 使 用 TS 网 关 ， 必 须 满足 下 列 先决 条 件 : 


在 服务 器 上 安装 Windows Server 2008 操作 系统 。 

配置 为 TS 网 关 的 用 户 ， 必 须 是 服务 器 计算 机 上 Administrators 组 的 成 员 。 

必须 为 TS 网 关 服 务 器 获取 安全 套 接 字 层 (SSU)] 证 书 (如 果 还 没有 该 证 书 ]。 默 认 情况 下 ， 在 TS 网 关 
服务 器 上 ，RPC/HTTP 负载 平衡 服务 和 Internet 信息 服务 (IIS) 使 用 传输 层 安全 (TLS)1.0 对 通过 
Internet 在 客户 端 与 TS 网 关 服务 器 之 间 进 行 的 通信 加 密 。 若 要 正常 使 用 TLS， 必 须 在 TS 网 关 服 
务 器 上 安装 SSL 证 书 。 

如 果 配置 的 TS 网 关 授权 策略 要 求 客户 端 计算 机 上 的 用 户 是 Active Directory 安全 组 的 成 员 ， 才 能 
连接 到 TS 网 关 服 务 器 ， 或 如 果 要 部 署 负载 平衡 的 TS 网 关 服 务 器 群集 ， 则 TS 网 关 服 务 器 必须 也 
是 Active Directory 域 的 成 员 。 


© 注意 ; 为 了 进一步 保证 服务 器 的 安全 ， 建 议 为 终端 服务 创建 一 个 专用 的 安全 组 ， 并 将 具有 访问 权限 的 用 


户 添加 到 该 安全 组 中 ， 这 里 添加 名 为 “TSGW” 的 安全 组 。 


7.4.2 安装 TS 网 关 


终端 服务 网 关 组 件 ， 可 以 与 终端 服务 共同 安装 在 同一 台 服务 器 上 ， 也 可 以 安装 在 不 同 的 服务 器 上 ， 这 


里 在 一 台 服 务 器 上 同时 安装 终端 服务 和 终端 服务 网 关 组 件 。 建 议 不 要 将 终端 服务 网 关 与 域 控制 器 安装 在 同 
一 台 服 务 器 上 。 具 体操 作 步骤 如 下 : 
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@ 打开 “服务 器 管理 器 ”窗口 ， 在 左 侧 栏 中 依次 展开 “服务 器 管理 器 ”一 “角色 ”一 “终端 服务 ”， 


如 图 7-46 所 示 。 
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图 7-46 “服务 器 管理 器 ”窗口 
@ 在 右 侧 窗口 中 ， 单 击 “ 添 加 角色 服务 ”按钮 ， 显 示 如 图 7-47 所 示 的 “选择 角色 服务 ”界面 。 
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图 7-47 “选择 角色 服务 ”界面 


图 选中 “TS 网 关 ” 复 选 框 ， 显示 如 图 7-48 所 示 的 “是 否 添加 TS 网 关 所 需 的 角色 服务 和 功能 ? ” 界 
面 ， 提 示 安 装 所 必需 的 IIS 组 件 。 

图 单 击 “ 添 加 必需 的 角色 服务 ”按钮 ， 返 回 “ 选 择 角色 服务 ”对 话 框 ， 单 击 “下 一 步 ” 按 钮 ， 显 示 
如 图 7-49 所 示 的 “选择 SSL 加 密 的 服务 器 身份 验证 证 书 ” 界 面 。 与 客户 端 进行 通信 时 ，TS 网 关 
需要 使 用 安全 套 接 字 层 协议 来 加 密 网 络 通信 ， 在 这 里 可 以 根据 需要 设置 所 使 用 的 证 书 ， 这 里 选择 

“ 稍 后 为 SSL 加 密 选择 证 书 ” 单 选 按钮 ， 稍 后 青 设置 所 使 用 的 证 书 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-50 所 示 的 “为 TS 网 关 创建 授权 策略 ”界面 。 终 端 服 务 的 连接 
授权 策略 (TS CAP) 允 许 指定 可 连接 到 该 TS 网 关 服 务 器 的 用 户 ， 这 里 选择 “以 后 ” 单 选 按钮 ， 在 稍 
后 的 操作 中 再 进行 设置 。 
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图 7-49 “选择 SSL 加 密 的 服务 器 身份 验证 证 书 ” 界 面 


图 7-50 “为 TS 网 关 创 建 授权 策略 ”界面 
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单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-51 所 示 的 “网 络 策略 和 访问 服务 ”界面 ， 显 示 网 络 策略 和 访问 
服务 的 简介 内 容 。 


图 7-51 “网 络 策略 和 访问 服务 ”界面 


@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 7-52 所 示 的 “选择 角色 服务 ”界面 。 因 为 TS 网 关 需 要 使 用 网 络 
策略 服务 ， 因 此 必须 安装 “网 络 策略 服务 器 ”角色 服务 。 如 果 服 务 器 中 已 经 安装 了 该 角色 服务 ， 
则 不 会 显示 该 对 话 框 。 


图 7-52 “选择 角色 服务 ”界面 


单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 7-53 所 示 的 “Web 服务 器 (IIS)” 界 面 ， 显 示 Web 服务 器 的 简介 
内 容 。 

单 击 “下 一 步 ”按钮 ， 显 示 如 图 7-54 所 示 的 “选择 角色 服务 ”界面 。 显 示 了 所 要 安装 的 Web 服 
务 器 的 角色 服务 ， 保 持 默 认 设 置 即 可 。 
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图 7-53 “Web 服务 器 (IIS)” 界 面 
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图 7-54 “选择 角色 服务 ”界面 


四 单 击 “ 下 一 步 ” 按 钮 , 显示 如 图 7-55 所 示 的 “确认 安装 选择 ”界面 。 检查 设 置 是 否 正 确 , 单 击 “ 上 
一 步 ” 按 钮 ， 可 以 返回 重新 设置 。 
@ 单 击 “ 安 装 ”按钮 ， 开 始 安装 TS 网 关 。 安 装 完成 后 ， 显 示 如 图 7-56 所 示 的 “安装 结果 ”界面 ， 
提示 所 需 的 角色 服务 已 经 安装 成 功 。 
多 单 击 “ 关 闭 ” 按 钮 ， 完 成 并 退出 安装 向 导 。 
依次 选择 “开始 ”一 “管理 工具 ”一 “终端 服务 ”一 “TS 网 关 管 理 器 ”， 显 示 如 图 7-57 所 示 的 “TS 
网 关 管理 器 ”窗口 。 
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图 7-55 “确认 安装 选择 ”界面 


图 7-56 “安装 结果 ”界面 


图 7-57 “TS 网 关 管理 器 ”窗口 
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7.4.3 为 TS 网 关 服 务 器 获取 证 书 


默认 情况 下 , 使 用 传输 层 安全 (TLS)1.0 加 密 , 通过 Internet 在 终端 服务 客户 端 与 TS 网 关 服 务 器 之 间 进 
行 的 通信 。 若 要 正常 使 用 TLS， 必 须 在 TS 网 关 服务 器 上 安装 与 安全 套 接 字 层 兼 容 的 X.509 证 书 。 

通常 情况 下 ， 服 务 器 可 以 通过 以 下 几 种 方法 获取 证 书 : 

”从 独立 证 书 颁发 机 构 (CA] 或 企业 证 书 颁发 机 构 获取 证 书 。 

”向 参与 Microsoft 根 证 书 程序 成 员 计 划 的 任 一 受信 任 公用 CA 购买 证 书 (或 免费 获取 一 个 试用 版 ]。 

”在 安装 TS 网 关 角 色 服 务 时 ， 使 用 添加 角色 向 导 创建 自 签名 证 书 ， 或 在 安装 TS 网 关 后 ， 使 用 TS 
网 关 管 理 器 创建 自 签 名 证 书 。 

这 里 使 用 第 三 种 方法 ， 使 用 TS 网 关 管 理 器 创建 自 签名 证 书 。 

@ 这 里 并 没有 创建 任何 证 书 ， 因 此 会 在 TS 网 关 管理 器 窗口 中 ,提示 尚未 安装 或 选择 服务 器 证 书 。 在 
“TS 网 关 管 理 器 ”窗口 中 ， 单 击 “ 查 看 或 修改 证 书 属性 ”显示 如 图 7-58 所 示 的 “TSGW 属性 ” 

@ 单 击 “ 创 建 证 书 ”按钮 ， 显 示 如 图 7-59 所 示 的 “创建 自 签名 证 书 ” 对 话 框 。 在 “证 书 名称 ” 下 ， 

输入 自 签名 证 书 名 称 。 需 要 注意 的 是 ， 该 名 称 必须 与 客户 端 连 接 到 TS 网 关 服务 器 时 使 用 的 DNS 

名 称 相同 ， 这 里 保持 默认 设置 。 在 “文件 名 ”文本 框 中 ， 可 以 根据 需要 设置 该 证 书 的 保存 目录 。 

如 果 选 中 “存储 根 证 书 ” 复 选 框 ， 则 会 在 创建 完成 后 ， 提 示 TS 网 关 已 成 功 地 创建 自 签名 证 书 ， 并 

确认 已 存储 的 证 书 的 位 置 。 


图 7-58 “TSGW 属性 ”对 话 框 图 7-59 “创建 自 签名 证 书 ” 对 话 框 


图 单 击 “ 确 定 ”按钮 ， 显 示 如 图 7-60 所 示 的 “TS 网 关 ” 
对 话 框 。 提 示 已 成 功 创建 自 签名 证 书 ， 以 及 该 证 书 的 
保存 位 置 。 

图 单 击 “ 确 定 ” 按 钮 ， 返 回 “TSGW 属性 ”对 话 框 ， 再 
次 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 即 可 。 


@ 


图 7-60 “TS 网 关 ” 对 话 框 
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局 提示 : 对 于 该 证 书 ， 在 域 环境 中 ， 管 理 员 可 以 使 用 组 策略 将 该 证 书 发 布 在 网 络 中 的 计算 机 上 。 


7.4.4 创建 终端 服务 策略 


创建 终端 服务 策略 包括 管理 终端 服务 连接 授权 策略 (TS CAP) 和 管理 终端 服务 资源 授权 策略 (TS RAP) 两 
部 分 。 终 端 服务 连接 授权 策略 的 作用 是 检查 连接 的 用 户 是 否 必须 符合 特定 的 要 求 ， 只 有 符合 连接 授权 策略 
的 用 户 ， 才 能 连接 到 TS 网 关 。 管 理 终端 服务 资源 授权 策略 的 作用 是 指定 远程 用 户 可 通过 TS 网 关 服 务 器 连 
接 到 的 内 部 网 络 资源 (计算 机 )。 

创建 终端 服务 策略 的 具体 操作 步骤 如 下 : 

四 在 “TS 网 关 管 理 器 ”窗口 中 ， 右 击 “ 策 略 ” 并 在 快捷 菜单 中 选择 “新 建 授权 策略 ”选项 ， 显 示 如 

图 7-61 所 示 的 “为 TS 网 关 创建 授权 策略 界面 为 了 操作 简单 ,建议 选择 "创建 TS CAP 和 TS RAP( 推 
荐 ] ” 单 选 按钮 ， 同 时 创建 终端 服务 连接 授权 策略 和 管理 终端 服务 资源 授权 策略 。 


图 7-61 “为 TS 网 关 创建 授权 策略 ”界面 


加 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-62 所 示 的 设置 TS CAP 界面 。 在 “输入 TS CAP 的 名 称 ”文本 框 
中 ， 输 入 授权 策略 的 名 称 。 

图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-63 所 示 的 设置 身份 验证 方法 对 话 框 。 根 据 需 要 设置 Windows 
身份 验证 方法 ， 包 括 “ 密 码 ” 和 “智能 卡 ” 两 种 方法 。 可 以 只 使 用 一 种 方法 ， 也 可 以 同时 使 用 两 
种 方法 ， 此 时 可 以 使 用 任意 一 种 方法 进行 身份 验证 。 

图 在 “用 户 组 成 员 身份 (必需 ] ”文本 框 右 侧 单 击 “ 添 加 组 ”按钮 ， 显 示 如 图 7-64 所 示 的 “选择 组 ” 
对 话 框 。 在 “输入 对 象 名 称 来 选择 ”文本 框 中 ， 输 入 想 要 设置 的 用 户 组 ， 单 击 “ 检 查 名 称 ” 按 钮 ， 
检查 组 名 是 否 正 确 。 

回 单 击 “ 确 定 ” 按 钮 ， 返 回 设置 身份 验证 方法 对 话 框 ， 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-65 所 示 的 

“为 TS 网 关 创建 TS CAP” 界 面 。 根 据 需要 设置 客户 端 设 备 的 设备 重 定向 ， 这 里 选择 “启用 所 有 
客户 端 设 备 的 设备 重 定 向 ” 单 选 按钮 。 
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@ Windows Server 2008 “3S 


EEE 


0 为 TS 网关 创 建 TS CAP 


Rm | tsn| [TSm 7 = | wm | 


图 7-62 设置 TS CAP 
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48 为 T5 网 关 创建 TS CAP 
内 |] 
这 过 和 
3 FP BN 厂 御 杉 上) 
en 于 加 和 与 人 3 Cy 基调 的 有 户 组 、 这 eg 世 员 用户] 以 过 要 5 由 关 虹 和 可 ~ 
2 
a ID: 
让 
6 
人 5 MP 林村 Laliaid] 
A HE | 
类 还 梧 以 千 科 交加 与 此 Ts C 籽 关 了 39 让 阁下 组 。 斥 为 沁 吉 组 所 贡 宫 户 息 计算 机 可 以 连接 到 比 这 所 x 执 实 型) 
ls 民 对 
Ei CELT Hao) 
EE ae et 图 员 
可 各 和 对 生生 和 来 过 择 还 浊 )Q) 
可 | Er 
#0 | < 上 -so sm] 0 | wvW | i 一 一 
图 7-63 设置 身份 验证 方法 图 7-64 “选择 组 ”对 话 框 


oo | < 上 $m | [Fm 
图 7-65 设置 客户 端 设备 重 定向 
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单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 7-66 所 示 的 “TS CAP 设置 摘要 ”界面 。 检 查 前 面 的 设置 是 否 正 
确 ， 单 击 “ 上 一 步 ”按钮 ， 可 以 返回 重新 设置 。 


EET 


人 为 TS 网 关 创建 TS CAP 


人 


图 7-66 “TS CAP 设置 摘要 ”界面 


@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 7-67 所 示 的 设置 TS RAP 名 称 对话 框 。 在 “输入 TS RAP 的 名 称 ” 
文本 框 中 ， 输 入 所 创建 的 TS TAP 的 名 称 。 


图 7-67 设置 TS RAP 名 称 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-68 所 示 的 设置 与 该 TS RAP 关联 的 用 户 组 对 话 框 。 这 里 所 设置 
的 用 户 组 ， 可 以 通过 TS 网 关 远 程 连接 到 网 络 资源 。 具 体 添加 组 的 操作 与 TS CAP 相同 ， 这 里 就 不 
再 费 述 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-69 所 示 的 设置 允许 连接 的 计算 机 对 话 框 。 根 据 需 要 设置 所 允许 
的 计算 机 即 可 ， 这 里 选择 “允许 用 户 连接 到 任意 网 络 资源 (计算 机 )” 单 选 按 钮 。 

@ 单 击 “下 一 步 ”按钮 显示 如 图 7-70 所 示 的 设置 所 使 用 的 端口 对 话 框 。 默认 情况 下 ,终端 服 务 客 
户 端 通过 TCP 端口 3389 远程 连接 网 络 资源 。 用 户 也 可 根据 实际 需要 ,使 用 其 他 的 端口 进行 连接 。 


L2871 


这 里 保持 默认 设置 ， 即 选择 “ 仅 允 许 通 过 TCP 端口 3389 连接 ” 单 选 按钮 。 


EE 


图 7-70 设置 所 使 用 的 端口 
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@@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 7-71 所 示 的 “TS RAP 设置 摘要 ”界面 。 检 查 前 面 的 设置 是 否 正 
确 ， 单 击 “ 上 一 步 ”按钮 ， 可 以 返回 重新 设置 。 


图 7-71 “TS RAP 设置 摘要 ”界面 
中 单 击 “ 完 成 ”按钮 ， 完 成 终端 策略 的 创建 ， 显 示 如 图 7-72 所 示 的 “确认 策略 创建 ”界面 。 


图 7-72 “确认 策略 创建 ”界面 
四 单 击 “ 关 闭 ” 按 钮 ， 完 成 并 关闭 该 向 导 。 


7.4.5 配置 终端 服务 客户 端 
终端 服务 客户 端 计 算 机 必须 验证 并 信任 TS 网 关 服 务 器 的 身份 ， 才 能 安全 地 发 送 用 户 的 密码 和 登录 赁 


据 ， 并 完成 身份 验证 过 程 。 若 要 建立 此 信任 ， 客 户 端 必 须 信 任 服务 器 证 书 的 根 。 即 客户 端 在 其 受信 任 根 证 
书 颁 发 机 构 存 储 中 必须 有 颁发 服务 器 证 书 的 证 书 颁 发 机 构 (CA 的 证 书 。 
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1. 配置 客户 端 证 书 
因为 这 里 使 用 的 是 TS 网 关 自 创建 的 证 书 , 因此 ,需要 将 该 证 书 导 入 到 客户 端 计算 机 中 。 这 里 以 Windows 
Vista 客户 端 为 例 进行 介绍 ， 具 体操 作 步 又 如 下 : 
Q@@ 依次 选择 “开始 ”一 “运行 ”命令 , 在 “打开 ”文本 框 中 输入 MMC， 单 击 “ 确 定 ”按钮 ， 打 开 如 
图 7-73 所 示 的 控制 台 窗口 。 


司 XD fA EE dax(0) OW Bit) 
“中 | 同 Bi6 国 
| 局 哲人 丰 点 盐 


图 7-73 控制 台 窗 口 
@ ”依次 选择 “文件 ”一 “添加 /删除 管理 单元 ”命令 ， 显 示 如 图 7-74 所 示 的 “添加 或 删除 管理 单元 ” 
对 话 框 。 在 左 侧 “可 用 的 管理 单元 ”列表 中 ， 选 择 “ 证 书 ” 选 项 。 
@ 单 击 “ 添 加 ”按钮 ， 显 示 如 图 7-75 所 示 的 “证 书 管理 单元 ”对 话 框 ， 选 择 “ 计 算 机 账户 ” 单 选 


冲 R 访 为 上 村 权 梧 用 人 管理 和 元 村 本 浊 所 和 一直 管理 元 。 对 于 本 扩 导 站 营 浊音 元 , 您 可 以 本 轩 要 后 且 
司 用 的 管理 闻 元 (3) 


PRE 四) | 
lh RU 

下 管 于 单元 所 给 作 为 下 列 采 户 营 浊 证 入 
Es 
EE 


揣 过 | 
证 书 管 昌 单元 允 评 您 刘 上 自 己 的 ， 一 个 服务 的 或 一 台 计 莹 机 YiE 书 在 被 志 容 。 


图 7-74 “添加 或 删除 管理 单元 ”对 话 框 图 7-75 “证 书 管理 单元 ”对 话 框 
@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 7-76 所 示 的 “选择 计算 机 ”对 话 框 ， 选 择 “ 本 地 计算 机 (运行 这 
个 控制 台 的 计算 机 )” 单 选 按钮 。 
回 ” 单 击 “ 完 成 ”按钮 ， 返 回 “ 添 加 或 管理 单元 ”对 话 框 ， 单 击 “ 确 定 ”按钮 ， 返 回 “ 控 制 台 ”窗口 ， 
如 图 7-77 所 示 。 
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部 BEY {BO) EC wo 


4 
外 | 友 国 0 a3| 日 国 


Er 
EE 


扫兴 个人 元 生机。 
| 这 个 守 直人 安 浊 


由 区 和 这 的 计 革 必 本 届 从 守 行 衣 ， 公 在 人 证 了 近 人 对 后 央 0 


EF 


图 7-76 “选择 计算 机 ”对 话 框 图 7-77 证 书 控制 台 


右 击 “受信 任 的 根 证 书 颁 发 机 构 ” 并 从 快捷 菜单 中 依次 选择 “所 有 任务 ”一 “导入 ”， 显 示 如 图 
7-78 所 示 的 “欢迎 使 用 证 书 导入 向 导 ” 界 面 。 

@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 7-79 所 示 的 “要 导入 的 文件 ”界面 。 在 文件 名 “文本 框 ” 中 ， 输 
入 证 书 的 目录 ， 即 终端 服务 器 自 创建 的 证 书 路 径 。 


贡生 用 证 世 S 入 向 导 RE rte 


文件 名 加: 
CoMWoer ainind str stor Wesktop\ TON ee 
注意 ; 用 下 列 属 式 可 以 在 一 个 文件 中 存 信 一 个 以 上 证 书 : 
十 人 信息 交换 - TRCS 2 (TPX,.T12) 
加 要 消 息 语法 标准- PSCS 条 证 书 | PTB) 
tt 系列 证 书 存 钵 CSSI) 


图 7-78 “欢迎 使 用 证 书 导 入 向 导 ” 界 面 图 7-79 “要 导入 的 文件 ”界面 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-80 所 示 的 “证 书 存储 ”界面 ， 保 持 默认 设置 即 可 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 7-81 所 示 的 “正在 完成 证 书 导入 向 导 ” 界 面 。 

单 击 “ 完 成 ”按钮 ， 确 认 将 该 证 书 导入 到 计算 机 中 。 导 入 成 功 后 ， 显 示 如 图 7-82 所 示 的 导入 成 功 
提示 框 。 

@ 单 击 “ 确 定 ”按钮 ， 完 成 并 关闭 该 提示 框 。 

2. 远程 连接 服务 器 


使 用 TS 网 关 远 程 连 接 终端 服务 器 ， 同 样 需 要 “远程 桌面 连接 ”工具 。 需 要 注意 的 是 ， 远 程 桌面 连接 工 
具 必 须 使 用 RDP6.0， 默 认 情 况 下 ， 在 Windows XP SP3 和 Windows Vista 系统 中 所 集成 的 即 为 RDP6.0。 
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正在 完成 证 书 导入 向 导 


| 单 击 “完成 ” 后 和 格 导 和 证书" 
证 


了 廊下 书 在 侍 的 更 多 信息 


[T= 7 mE | 


EES® Fm Cm 


图 7-80 “证 书 存储 ”界面 图 7-81 “正在 完成 证 书 导入 向 导 ” 界 面 


四 ”依次 选择 “开始 ”一 “所 有 程序 ”一 “附件 ”一 “远程 桌面 连接 ”， 打 开 “ 远 程 桌 面 连接 ”对 话 
框 。 单 击 “ 选 项 ” 按钮， 设置 远程 桌面 连接 的 选项 ， 如 图 7-83 所 示 。 在 “计算 机 ”下 拉 列 表 框 中 ， 
输入 欲 连接 的 终端 服务 器 的 IP 地址 。 

@ 其 他 设置 与 普通 远程 桌面 连接 相同 ， 具 体内 容 请 参见 相关 内 容 ， 这 里 就 不 青 袭 述 。 切 换 到 “高 级 ” 
选项 卡 ， 如 图 7-84 所 示 。 


半生 从 证 

印 上 天 
EN ON) 
时 身份 巡 证 II 可 和 友 出 对 站 
和 上 外 入 计 人 全 
示 列 ceater espe com 


一 从 各 位 二 撤 
及 i ee e+ mt % REE oi 
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图 7-82 ”提示 导入 成 功 图 7-83 “常规 ”选项 卡 图 7-84 “高 级 ”选项 卡 


@ 在 “从 任意 位 置 连接 ”选项 区 域 中 , 单 击 “ 设 置 ” 按钮， 显示 如 图 7-85 所 示 的 “网 关 服 务 器 设置 ” 
对 话 框 。 选择“ 使 用 这 些 TS 网 关 服务 器 设置 ” 单 选 按钮 ， 在 “服务 器 名 ”文本 框 中 ， 输 入 网 关 服 
务 器 的 DNS 名 称 。 需 要 注意 的 是 ， 客 户 端 计算 机 必须 可 以 正确 解析 该 名 称 。 如 果 是 在 局 域 网 中 ， 
为 了 避免 不 通过 TS 网 关 而 直接 连接 到 终端 服务 器 ， 可 以 取消 选中 “不 使 用 本 地 地 址 的 TS 网 关 服 
务 器 ” 复 选 框 。 

图 单 击 “ 确 定 ” 按钮， 返回“ 远程 桌面 连接 ”对 话 框 ， 单 击 “ 连 接 ” 按 钮 ， 显 示 如 图 7-86 所 示 的 “ 输 
入 您 的 凭据 ”界面 。 分 别 在 用 户 名 和 密码 文本 框 中 ， 输 入 终端 服务 器 合法 的 用 户 名 和 密码 。 这 里 
因为 终端 服务 器 处 于 域 环境 中 ， 因 为 需要 输入 域 用 户 名 。 

回 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 7-87 所 示 的 “网 关 服 务 器 凭据 ”界面 。 分 别 在 用 户 名 和 密码 文本 框 
中 ， 输 入 网 关 服 务 器 合法 的 用 户 名 和 密码 。 
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Windows 安全 
输入 您 的 拖 据 

由 自动 司 刚 rs 网 关 限 务 吴 庄 委 反 ) 过世 天 志和 用 于 这 插 211 82.218.242， 

同 全 用 这 些 rs 网 关 且 务必 庄村 QD) 
服务 器 名 ts errlpem not 
节录 寺中 [各 省 折 皇后 吉 择 a 
仿生 本 地 6 了 同 关 服务 器 硬 让 

站 不 全 用 rs 网 关 服务 器 中 


COC 


图 7-85 “网 关 服 务 器 设置 ”对 话 框 图 7-86 “输入 您 的 凭据 ”界面 
加 单 击 “ 确 定 ”按钮 ， 稍 等 片刻 ， 即 可 成 功 连接 终端 服务 器 ， 如 图 7-88 所 示 。 


| 71 -亏本 


[3 
网 关 服务 跟 拖 握 
放风 入 二 h 近 到 togw coolpen net 
[coolpen\eze 
| E -0 ] 
下 coolpen 
加 记 EC 的 所 
mE |[ WN |] 


7-87 “网 关 服务 器 凭据 ”界面 图 7-88 成 功 连接 终端 服务 器 


7.4.6 监视 TS 网 关 服 务 器 的 连接 状态 和 报告 


在 “TS 网 关 管 理 器 ”窗口 中 ， 可 以 查看 当前 正在 进行 的 连接 。 当 发 现 可 疑 连接 时 ， 还 可 以 断 开 相应 的 


连接 。 


在 “TS 网 关 管 理 器 ”窗口 左 侧 栏 中 ， 选 择 “ 监 视 ” 选 项 ， 即 可 在 中 间 “ 监 视 ” 栏 中 ， 显 示 所 有 正在 进 
行 的 连接 ， 如 图 7-89 所 示 。 在 该 窗口 中 ， 可 以 查看 连接 的 人 、 用 户 ID、 用 户 名 、 连 接 在 、 连 接 时 段 、 空 
闲 时 间 、 目 标 计算 机 、 客 户 端 IP 地 址 和 目标 端口 等 信息 。 如 果 想 要 断 开 某 个 连接 ， 可 以 左 击 该 连接 ， 在 快 
捷 菜 单 中 选择 “ 断 开 此 连接 ”选项 即 可 。 如 果 在 快捷 菜单 中 ， 选 择 “ 断 开 与 此 用 户 的 连接 ”选项 ， 则 可 以 


断 开 该 用 户 的 所 有 连接 。 
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图 7-89 监视 连接 


7.5 文件 服务 安全 


资源 共享 是 网 络 最 大 的 特点 之 一 ， 而 局 域 网 的 资源 共享 更 多 的 是 借助 文件 共享 来 实现 。 文 件 服务 是 局 
域 网 中 很 常用 的 网 络 服务 之 一 ， 通 常 利用 文件 服务 器 的 RAID 卡 和 高 速 的 SCSI 硬盘 为 网 络 提供 文件 共享 ， 
还 可 以 设置 网 络 文件 的 保护 权限 ， 在 高 速 存 取 的 同时 还 确保 了 访问 的 安全 ， 也 能 够 充分 利用 大 容量 的 磁盘 
存储 空间 。 

在 网 络 中 ， 某 些 文件 因为 安全 要 求 ， 只 允许 某 些 用 户 或 组 访问 。 此 时 ， 可 以 通过 设置 NTFS 权限 、 共 
享 文件 夹 权 限 和 磁盘 配额 来 实现 。 具 体 关 于 这 些 方面 的 内 容 请 参见 本 书 的 相关 章节 ， 这 里 就 不 再 袭 述 。 


[2941 


Windows 防火 墙 是 Windows Server 2008 系统 中 变 全 关键 词 
化 较 大 的 组 件 之 一 ， 它 不 仅 是 一 款 基 于 主机 的 状态 防火 Windows 防火 墙 概述 
墙 ， 可 以 提供 数据 包 簿 选 和 IP 安全 (IPSec) 功 能 ， 还 可 以 配置 Windows 防火 墙 
帮助 用 户 防御 来 自 Internet 和 内 部 局 域 网 的 各 种 恶意 攻 使 用 组 策略 配置 Windows 防火 墙 
击 ， 大 大 提高 系统 安全 性 ， 是 网 络 边界 防火 墙 的 一 个 有 配置 Windows 防火 墙 事件 审核 
益 补充 。 高 级 安全 Windows 防火 墙 还 可 以 同时 控制 传 入 Windows 防火 墙 的 维护 
和 传 出 连接 ， 可 以 轻松 实现 端 到 端的 安全 连接 和 用 户 身 


份 验证 。 
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8.1 Windows 防火 墙 概述 


最 早 的 Windows 系统 是 不 集成 防火 墙 组 件 的 , 从 Windows XP SP1 系统 才 开 始 提供 ,直至 出 现 Windows 
Vista/2008 之 前 ， 防 护 功能 都 比较 单一 ， 只 可 以 阻止 未 通过 允许 的 连接 。 一 些 比较 复杂 的 网 络 攻击 ， 往 往 
需要 通过 监视 通信 或 者 伪装 通信 来 实现 ， 因 此 需要 更 加 可 靠 的 安全 防护 。Windows Server 2008 系统 中 的 
高 级 安全 Windows 防火 墙 ， 集 成 了 IPSec 管理 ，IPSec 通过 双方 的 认证 和 加 密 来 降低 这 种 攻击 的 可 能 性 。 


8.1.1 使 用 Windows 防火 墙 筛选 通信 


管理 员 可 以 借助 Windows 防火 墙 ， 控制 哪些 服务 可 以 连接 网 络 , 哪些 网 络 可 以 连接 特定 的 服务 。 默 认 
情况 下 ，Windows 防火 墙 允许 所 有 发 出 通信 通过 ， 但 是 管理 员 也 可 以 限制 应 用 程序 发 送 通信 。 管 理 员 可 以 
创建 如 下 形式 的 防火 墙 规则 。 

”在 DNS 服务 器 上 ， 只 允许 内 部 网 络 的 请 求 消息 。 

se 在 E-mail 服务 器 上 ， 人 允许 所 有 计算 机 通过 TCP 端口 25 连接 SMTP 服务 器 ， 同 时 只 允许 内 网 计算 

机 使 用 TCP 端口 110 连接 POP 服务 器 。 
”除了 Windows 更 新 之 外 ， 阻 止 所 有 的 应 用 程序 和 服务 向 外 连接 网 络 。 
”允许 内 网 计算 机 对 服务 器 使 用 ping 命令 ， 但 是 阻止 响应 来 自 Internet 的 ping 请 求 。 


8.1.2 ”使 用 IPsec 保护 通信 


IPSec 是 网 络 层 提 供 的 认证 和 加 密 安 全 标准 ， 是 TCP/IP 协议 的 一 部 分 。IPSec 可 以 有 效 防护 探测 攻击 。 
例如 ， 网 络 中 的 共享 文件 没有 提供 任何 加 密 措 施 ， 攻 击 者 通过 访问 物理 网 络 就 可 以 读 取 到 传输 中 的 文件 内 
容 。 但 是 通过 IPSec 可 以 对 网 络 通信 进行 加 密 ， 从 而 使 攻击 者 基本 不 可 能 看 到 传输 的 文件 内 容 。 

1. IPSec 的 身份 验证 功能 

除了 加 密 功能 外 ，IPSec 还 提供 认证 功能 。 通 过 认证 功能 ， 服 务 器 上 的 IPSec 在 客户 端 连接 之 前 就 可 以 
确定 该 客户 端 是 否 是 域 成 员 或 者 拥有 一 个 有 效 的 计算 机 证 
节 。 同 样 ， 客 户 端 计算 机 也 可 以 确定 正确 的 服务 器 。IPSec 今 te D> rk 9 
认证 可 以 有 效 阻止 常见 的 “中 间 人 ”攻击 ， 如 图 8-1 所 示 。 

总 之 ，IPSec 可 以 阻止 如 下 行为 。 
Man-in-the-middle 攻击 。 
探测 攻击 。 

重 放 攻 击 。 
未 认证 的 网 络 应 用 程序 的 访问 。 
只 使 用 客户 端 IP 地 址 进行 认证 的 网 络 应 用 程序 的 访问 。 

因为 IPSec 在 网 络 层 操作 ,所 以 对 于 大 多 数 应 用 程序 来 说 它 是 透明 的 ;但 是 对 于 有 些 网 络 设备 来 说 IPSec 
是 不 兼容 的 。 任 何 一 个 防火 墙 或 检查 通信 的 其 他 设备 都 不 允许 IPSec 加 密 传输 ， 所 以 用 户 需要 经 常 配置 这 
些 设备 来 允许 IPSec 通信 。 


#4 


服务 器 


8-1 IPSec 阻止 “中 间 人 ”攻击 
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2. IPSec 的 工作 模式 


IPSec 有 两 种 模式 : 传输 模式 和 通道 模式 。 传 输 模 式 用 来 保护 主机 到 主机 的 通信 。 在 传输 模式 中 , IPSec 
通信 在 第 4 层 传输 层 (0SI 参考 模型 ]， 所 以 IPSec 可 以 加 密 UDP/TCP 协议 包头 和 原始 数据 ， 但 是 IP 包头 却 
不 能 被 保护 。 通 道 模式 用 来 保护 主机 到 网 络 和 网 络 到 网 络 的 通信 ， 如 VPN。IPSec 将 数据 压缩 到 包头 和 包 
尾 。 按 照 IPSec 协议 ， 发 送出 去 的 数据 包 的 原始 内 容 将 会 被 加 密 。IPSec 使 用 压缩 安全 负载 (ESP] 协 议 来 提 
供认 证 和 加 密 。 如 图 8-2 所 示 为 IPSec 的 IPv4 传输 模式 的 数据 包 结构 。 


原始 |IPSec ESP| UDP/TCP i sp 尼 | ESP 身 份 
IP 包 头 | 包头 | 协议 包头 | 原始 数据 | BSP 必 | 验证 尾 
身份 验证 
加 密 


图 8-2 IPSec 数据 包 结构 


© 注意 ; IPSec 也 是 IPv6 的 一 部 分 。 


应 用 IPSec 加 密 之 前 需要 注意 的 是 ， 并 不 是 所 有 的 计算 机 都 支持 IPSec。IPSec 支持 多 种 认证 和 加 密 标 
准 ， 两 台 支 持 IPSec 的 主机 可 能 支持 的 是 不 同类 型 的 标准 。 因 此 ,在 建立 IPSec 连接 之 前 ， 必 须 确定 这 些 主 
机 是 否 都 支持 IPSec 和 一 系列 可 接受 的 认证 和 加 密 标准 。 

IKE(Internet 密 钥 交 换 协议 ) 是 Internet 安全 关联 和 密 钥 管理 协议 (ISAKMP) 和 0akley 密 钥 交换 协议 的 组 
合 , 主要 用 于 管理 在 IPSec 连接 中 使 用 的 加 密 密 钥 算法 。Windows Vista 和 Windows Server 2008 系统 支持 
的 IKE 协商 模式 如 下 。 

时 主 模式 : IKE 协商 认证 和 加 密 协议 ， 然 后 认证 计算 机 。 

”用 户 模式 ， 如果 用 户 认证 是 为 IPSec 配置 的 ， 那 么 IKE 认证 用 户 。 

”快速 模式 ，IKE 保护 个 人 通信 传输 ， 并 且 经 常 改变 安全 密 钥 。 但 是 在 该 模式 下 无 法 进行 认证 。 

(1) 主 模式 

主 模式 下 主要 执行 最 初 的 IKE 协商 认证 主机 ， 从 而 产生 主 密 钥 并 在 机 器 之 间 建 立 一 个 ISAKMP 安全 连 
接 ， 因 此 主 模式 也 被 称 为 IKE 协商 的 第 一 阶段 。 默认 情况 下 ， 在 Windows 系统 中 ，ISAKMP 安全 连接 建立 
之 后 会 保持 8 小 时 。 如 果 在 8 小 时 后 数据 被 转移 ， 则 主 模式 安全 连接 将 会 自动 重新 协商 。 

主 模式 协商 包含 下 列 3 个 部 分 。 

保护 序列 协商 。 它 是 主 模式 协商 的 第 一 部 分 ， 使 用 无 认证 通信 来 确定 可 用 的 保护 序列 (其 中 包括 加 密 和 
哈 希 算法 、 认 证 方法 , 以 及 Diffie-Hellan Oakley 组 ), 并 且 决 定 该 会 话 中 使 用 的 算法 。 IPSec 客户 端 会 向 IPSec 
服务 器 发 送 消 息 请 求 保护 序列 的 列表 ，IPSec 服务 器 使 用 优先 保护 序列 回复 IPSec 客户 端的 消息 。 

Diffie-Hellan 交换 。 在 IPSec 协商 出 保护 序列 之 后 ， 主 模式 的 第 二 阶段 就 会 根据 Diffie-Hellan Oakley 组 
协商 来 产生 Diffie-Hellan 公用 和 专 有 密 钥 对 。IPSec 主机 交换 公用 密 钥 ,然后 单独 产生 主 模式 的 主 密 钥 。 该 
密 钥 将 被 有 效应 用 于 两 台 主 机 间 的 通信 。 

认证 。 主 模式 协商 的 第 三 阶段 是 执行 认证 。 在 认证 过 程 中 ， 基 于 计算 机 的 认证 优 于 基于 用 户 的 认证 。 
所 以 当 使 用 认证 时 ， 认 证 识别 的 是 计算 机 ， 而 不 是 使 用 计算 机 的 用 户 。 
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(2) 用 户 模式 
当主 模式 使 用 的 是 用 户 认证 时 ， 用 户 模式 就 是 第 二 认证 阶段 。 用 户 模式 使 用 Kerberos V5 认证 活动 目 
录 中 的 用 户 账户 。 用 户 模 式 认 证 是 Windows Vista 和 Windows Server 2008 系统 新 引进 的 ， 所 以 早期 版 本 
的 Windows 系统 对 此 不 支持 。 
(3) 快速 模式 
快速 模式 也 称 第 二 阶段 ， 在 IPSec 主机 之 间 协 商 确立 一 条 安全 通道 。 在 快速 模式 中 ， 创 建 的 安全 连接 
被 称 为 IPSec 安全 连接 ， 连 接 双方 均 使 用 自己 的 安全 参数 索引 (SPD， 其 中 一 方 作为 信息 接收 端 ， 另 一 方 作 
为 发 送 端 。 
默认 情况 下 ， 运 行 Windows 系统 的 计算 机 每 小 时 或 者 每 传输 100 MB 数据 ， 就 执行 快速 模式 协商 。 经 
常 使 用 快速 模式 重新 协商 密 钥 ， 可 以 降低 攻击 者 强制 破解 通信 密 钥 的 可 能 性 。 
3. 认证 头 和 ESP 
IPSec 使 用 如 下 两 种 协议 。 
”认证 头 ([AH): AH 对 整个 IP 数据 包 进行 认证 ， 但 不 进行 数据 加 密 ， 适 用 于 某 些 要 求 严格 防止 IP 欺 
骗 的 场合 ， 所 以 在 NAT 模式 下 无 法 使 用 。 
和 ”ESP: 同时 提供 对 数据 进行 加 密 和 认证 ，ESP 认证 不 对 外 部 IP 头 进行 认证 ， 所 以 可 以 在 NAT 模式 
下 使 用 。 
默认 情况 下 ，Windows 系统 将 自动 尝试 使 用 ESP 协议 ， 当 两 台 主机 都 不 支持 ESP 协议 时 ， 才 尝试 使 用 
AH 协议 。 由 于 ESP 协议 具有 广泛 的 支持 性 ，AH 协议 很 少 用 到 。 


8.1.3 设计 Windows 防火 墙 策略 


Windows Server 2008 系统 提供 的 高 级 安全 Windows 防火 墙 设 计 非 常 灵活 ， 管 理 员 旺 可 以 对 系统 默认 
规则 进行 优化 满足 自己 的 需要 ， 也 可 以 设计 和 创建 新 的 规则 ， 并 且 可 以 为 每 个 防火 墙 规则 设置 不 同 的 作用 
范围 ， 实 现 对 不 同 访问 行为 的 限制 。 当 创建 IPSec 规则 时 ， 必 须 确 定 主机 是 否 支 持 IPSec， 然 后 设计 单独 的 
策略 以 提供 最 高 的 安全 性 ， 保 证 所 有 客户 端的 连接 。 

1. 默认 防火 墙 规则 


默认 情况 下 ，Windows Server 2008 系统 防火 墙 阻止 所 有 传 入 通信 ， 人 允许 所 有 传 出 的 通信 ， 该 设置 可 
会 阻止 某 些 网 络 服务 的 正 党 运行。 其实， 默认 规 则 中 已 经 包含 一 些 常用 网 络 服务 发 布 规 则 ， 但 默认 是 禁 
用 的 ， 管 理 员 只 需 启用 这 些 规则 即 可 确保 网 络 服务 的 正常 运行 。 默 认 的 防火 墙 策 略 可 以 满足 大 多 数 网 络 服 
务 器 的 需要 ， 用 户 也 可 以 对 如 下 防火 墙 规则 进行 适当 编辑 ， 实 现 某 些 特殊 要 求 。 

”只 允许 来 自 特定 子 网 的 连接 。 

”只 允许 来 自 特定 用 户 或 计算 机 的 连接 。 

和 ”只 允许 受 IPSec 保护 的 连接 。 

”只 对 特定 的 计算 机 应 用 例外 。 


© 注意 ; 默认 情况 下 ，Windows 防火 墙 允 许 所 有 传 出 连接 ， 建 议 修改 为 阻止 没有 明确 允许 的 连接 ， 以 便 降 
低 病 毒 的 威胁 。 需 要 注意 的 是 ， 必 须 确定 已 经 为 每 个 合法 的 应 用 程序 创建 了 允许 规则 。 
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2. 自 定义 Windows 防火 墙 规则 


通常 情况 下 ， 安 装 应 用 程序 或 服务 组 件 后， 将 自动 创建 防火 墙 规则 。 例 如 ，Windows Server 2008 系 
统 防火 墙 默认 规则 中 并 未 包含 Web 服务 规则 ,但 是 安装 HS 组 件 或 其 他 Web 服务 器 组 件 后 , 就 会 自动 创建 
并 启用 Web 服务 规则 ， 允 许 其 他 用 户 访问 网 站 。 如 果 应 用 程序 没有 自动 创建 防火 墙 规则 ， 则 用 户 可 以 根据 
如 下 条 件 手动 创建 。 

程序， 为 某 个 特定 的 执行 文件 允许 或 阻止 连接 ， 不 考虑 它 所 使 用 的 端口 号 。 

a 端口， 允许 或 阻止 通过 特定 TCP 或 UDP 端口 号 的 通信 ， 不 考虑 该 程序 产生 的 通信 量 。 

a 。 预 装 Windows 组 件 : 例如 活动 目录 服务 、 文 件 和 打印 共享 服务 等 ,虽然 已 经 自动 创建 相应 的 默认 

防火 墙 规则 ， 但 用 户 也 可 以 为 其 定义 新 的 控制 连接 规则 。 

a 。” 自 定义 ， 程 序 和 端口 两 种 方式 结合 。 

由 于 程序 规则 的 易 配置 性 ， 用 户 应 该 首选 创建 程序 规则 。 如 果 某 项 服务 需要 监听 多 个 端口 ， 需 要 对 每 
个 端口 作 不 同 的 限制 ， 则 需要 创建 端口 规则 。 


3. 控制 防火 墙 策略 作用 域 
所 有 Windows 防火 墙 规则 都 有 一 个 作用 域 ， 这 个 作用 域 是 指 允 许 与 防火 墙 规定 的 服务 进行 通信 的 IP 


地 址 的 范围 。 管 理 员 可 以 根据 需要 编辑 默认 规则 和 自 定义 规则 的 作用 域 。 例 如 ， 可 以 编辑 DNS 进入 规则 只 
允许 内 网 访问 ， 从 而 降低 来 自 Internet 攻击 的 危险 。 

控制 进入 规则 作用 域 是 避免 网 络 攻击 的 有 效 方法 之 一 。 但 是 ， 配 置 作用 域 会 增加 运行 管理 的 费用 ， 因 
为 每 次 增加 子 网 或 IP 地 址 变动 都 需要 重新 配置 作用 域 ， 在 排除 故障 时 必须 查看 规则 的 优先 权 ， 确 定 是 不 是 
应 用 了 该 规则 的 客户 端 导致 的 问题 。 

4. Windows 防火 墙 配置 文件 

防火 墙 配置 文件 是 一 种 分 组 设置 的 方法 ， 如 防火 墙 规则 和 连接 安全 规则 ， 根 据 计算 机 连接 到 的 位 置 将 
其 应 用 于 该 计算 机 。 高 级 安全 Windows 防火 墙 中 包含 如 下 3 种 配置 文件 , 用 户 可 以 为 防火 墙 规则 同时 选 定 
多 种 配置 文件 。 

时。 域 配置 文件 : 当 计 算 机 连接 到 本 地 域 时 应 用 。 特 别 是 ， 每 当成 员 计算 机 的 域 控制 器 是 可 访问 的 时 ， 


即 可 应 用 域 配置 文件 。 
时 专 有 配置 文件 : 当 计算 机 连接 专 有 网 络 时 应 用 。 默 认 情 况 下 ， 任 何 网 络 都 不 是 专 有 的 ， 用 户 必须 
将 网 络 标识 为 专 有 网 络 。 


里。 公用 配置 文件 : 当 域 控制 器 不 可 用 时 ， 默 认 配 置 文件 将 应 用 于 所 有 网 络 。 例 如 ， 当 用 户 在 机 场 或 
咖啡 店 连接 Wi-Fi 网 络 时 ， 公 用 配置 文件 将 被 应 用 。 默 认 情 况 下 ， 公 用 配置 文件 允许 所 有 出 站 连 
接 ， 同 时 阻止 所 有 的 入 站 连接 。 
配置 文件 功能 主要 应 用 于 移动 计算 机 。 当 在 服务 器 上 配置 规则 时 ， 通 常 需要 为 规则 同时 应 用 这 3 种 配 
置 文件 。 
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8.2 配置 Windows 防火 墙 


高 级 安全 Windows 防火 墙 是 Windows Server 2008 和 Windows Vista 的 新 增 功能 之 一 ， 与 标准 
Windows 防火 墙 相 比 ， 其 安全 防护 能 力 更 强 ， 具 有 以 下 特点 。 

和 ”高 级 安全 Windows 防火 墙 是 双向 防火 墙 ， 它 不 仅 可 以 监视 、 设 置 甚至 屏蔽 所 有 的 入 站 连接 请 求 
(默认 设置 为 禁止 )， 也 可 以 对 所 有 的 出 站 连接 请 求 进行 更 细致 的 设置 (默认 设置 为 允许 ]。 

和 ”高 级 安全 Windows 防火 墙 是 一 种 基于 规则 的 状态 防火 墙 ， 支 持 IPv4 与 IPv6， 远 比 应 用 层级 的 边 
界 防火 墙 更 为 安全 。 

和 ”高 级 安全 Windows 防火 墙 结合 了 主机 防火 墙 和 IPSec; 而 在 Windows XP/2003 系统 中 , Windows 
防火 墙 与 IPSec 是 分 离 的 。 


8.2.1 配置 防火 墙 规则 


以 管理 员 账户 登录 Windows Server 2008 系统 后 , 单 击 “ 开 始 ”一 “管理 工具 ”一 “高 级 安全 Windows 
防火 墙 ”命令 ,打开 如 图 8-3 所 示 的 “高 级 安全 Windows 防火 墙 ”窗口 。 其 中 包括 入 站 规则 、 出 站 规则 和 
连接 安全 规则 3 种 规则 。 如 果 安 装 Active Directory 服务 ， 还 会 增加 13 条 相应 的 安全 规则 。 
里 入 站 规则 。 入 站 规则 明确 允许 或 者 明确 阻止 与 规则 条 件 匹 配 的 通信 。 例 如 ， 可 以 将 规则 配置 为 明 
确 允 许 受 IPSec 保护 的 远程 桌面 通信 通过 防火 墙 , 但 阻止 不 受 IPSec 保护 的 远程 桌面 通信 。 默认 情 
况 下 将 阻止 入 站 通信 , 若 要 允许 通信 ，, 必须 先 创建 相应 的 入 站 规则 。 在 没有 适用 的 入 站 规则 的 情况 下 ， 
也 可 以 对 具有 高 级 安全 性 的 Windows 防火 墙 所 执行 的 操作 (无 论 允许 还 是 阻止 连接 ) 进 行 配 置 。 

于。 出 站 规则 。 出 站 规则 明确 允许 或 者 明确 拒绝 来 自 与 规则 条 件 匹 配 的 计算 机 的 通信 。 例 如 ， 可 以 将 
规则 配置 为 明确 阻止 出 站 通信 通过 防火 墙 到 达 某 一 台 计 算 机 , 但 允许 同样 的 通信 到 达 其 他 计算 机 。 
默认 情况 下 允许 出 站 通信 ， 因 此 必须 创建 出 站 规则 来 阻止 通信 。 


FT WE I 
本 和 ER 
sea 
ER 
3 对 监 讽 
副 起 X 培 
EE 
© stn 
NT EE 
专用 配备 文件 i 
让 i RAR 
全 用 上 SWRITEEN 入 冯 许 稚 。 
CE 
公用 了 配器 广 件 是 活动 的 
蕊 到 


8-3 “高 级 安全 Windows 防火 墙 ” 窗口 


[3001 


1. 禁用 或 启用 规则 


管理 员 可 以 通过 两 种 方式 启用 或 禁用 防火 墙 规则 : Windows 防火 墙 控制 台 和 netsh 命令 。 在 高 级 安全 
Windows 防火 墙 控制 台中 ， 首 先 选择 “入 站 规则 ”或 “出 站 规则 ”， 然 后 右 击 相应 规则 ， 从 弹出 的 快捷 菜 
单 中 选择 “禁用 规则 ”或 者 “启用 规则 ”选项 ， 即 可 更 改 其 运行 状态 。 使 用 netsh 命令 启用 或 禁用 单一 规 
则 以 及 规则 组 ， 用 法 如 下 。 

里 “启用 /禁用 单个 规则 : netsh advfirewall firewall set rule name="Rule" new enable=yes | no 

和 ”启用 /禁用 规则 组 : netsh advfirewall firewall set rule name=" RuleGroup" new enable=yes | no 

例如 ， 使 用 如 下 命令 可 以 启用 “BITS 对 等 缓存 (RPC)” 规 则 (默认 情况 是 禁用 的 ): 


netsh advfirewall firewall set rule name="BITS Peercaching (RPC)" new enable=yes 


使 用 如 下 命令 可 以 启用 “BITS 对 等 缓存 ”规则 组 (默认 情况 是 禁用 的 ): 
netsh advfirewall firewall set rule group="BITS Peercaching" new enable=yes 
2. 创建 防火 墙 规则 


Windows 2008 的 高 级 安全 Windows 防火 墙 使 用 出 站 和 入 站 两 组 规则 ， 配置 其 如 何 响应 传 入 和 传 出 的 
请 求 。 默 认 情况 下 ， 管 理 员 在 该 服务 器 上 安装 微软 公司 提供 的 网 络 服务 后 ， 将 自动 添加 在 高 级 防火 墙 的 出 
站 规则 列表 中 ， 并 允许 通过 防火 墙 。 但 是 ， 如 果 安 装 的 是 第 三 方 网 络 服务 ， 则 必须 通过 手动 创建 相关 规则 ， 
才 可 以 将 服务 发 布 到 网 络 。 例 如 ， 如 果 在 当前 服务 器 上 配置 基于 Serv-U 的 FTP 服务器， 必须 同时 创建 提供 
上 传 和 下 载 的 入 站 规则 。 

四 在 高 级 安全 Windows 防火 墙 控制 台中 ， 右 击 “ 入 站 规则 ”， 选 择 快捷 菜单 中 的 “新 规则 ”选项 ， 

打开 如 图 8-4 所 示 的 “规则 类 型 ”界面 。 与 普通 Windows 防火 墙 类 似 ， 同 样 可 以 通过 选择 应 用 程 
序 、 指 定 端口 、 服 务 等 多 种 方式 创建 访问 规则 。 这 里 选择 “端口 ” 单 选 按钮 。 


图 8-4 “规则 类 型 ”界面 


加 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8-5 所 示 的 “协议 和 端口 ”界面 。 根 据 服 务 使 用 的 协议 类 型 选择 
TCP 或 者 UDP 单 选 按钮 。 本 例 中 FTP 服务 使 用 的 是 TCP 端口 , 选择 TCP 单 选 按钮 即 可 。 选择 “ 特 
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定 本 地 端口 ” 单 选 按钮 ， 输 入 服务 使 用 的 端口 号 ， 如 果 在 配置 服务 器 时 指定 了 非 默认 端口 ， 则 在 
这 里 也 应 指定 相应 端口 ， 例 如 2121。 


图 8-5 “协议 和 端口 ”界面 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8-6 所 示 的 “操作 ”界面 ， 选 择 “ 人 允许 连 接 ” 单 选 按钮 。 如 果 选 
择 “ 只 允许 安全 连接 ” 单 选 按钮 ， 则 高 级 防火 墙 只 允许 特定 的 安全 用 户 访问 服务 器 ， 即 使 用 IPSec 
身份 验证 的 用 户 。 如 果 选 择 “ 阻 止 连 接 ” 单 选 按钮 ， 则 将 阻止 所 有 用 户 到 服务 器 的 连接 。 


8-6 “操作 ”界面 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8-7 所 示 的 “配置 文件 ”界面 ， 设 置 该 规则 的 应 用 范围 。 例 如 ， 
FTP 服务 器 仅 对 Internet 用 户 提供 服务 ， 则 选中 “公用 ” 复 选 框 即 可 ， 内 网 用 户 对 服务 器 的 访问 
将 不 受 防 火 墙 保护 。 

图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8-8 记 示 的 “名 称 ” 界 面 。 在 “名 称 ” 界 面 中 输入 该 入 站 规则 的 
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显示 名 称 ， 便 于 识别 。 在 “描述 ”文本 框 中 ， 可 以 输入 相关 的 描述 信息 。 


图 8-7 “配置 文件 ” 界面 


图 8-8 “名 称 ”界面 


@ ” 单 击 “ 完 成 ”按钮 ， 即 可 保存 已 创建 的 入 站 规则 。FTP 服务 器 提供 下 载 和 上 传 服务 时 ， 需 要 使 用 
不 同 的 端口 ， 因 此 还 需要 对 用 于 发 布 上 传 服务 的 端口 创建 入 站 规则 ， 如 图 8-9 所 示 。 详 细 操 作 过 
程 ， 这 里 不 再 袭 述 。 

@ 默认 情况 下 ， 成 功 创建 的 入 站 规则 将 自动 启用 ， 并 显示 在 “入 站 规则 ”窗口 中 ， 如 图 8-10 所 示 。 

3. 编辑 防火 墙 规则 

在 Windows Server 2003 系统 防火 墙 中 ， 管 理 员 可 以 通过 配置 ICMP 协议 响应 机 制 ， 使 本 地 计算 机 响 
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应 或 拒绝 其 他 计算 机 的 ping 入 ， 以 确保 服务 器 安全 。 而 在 Windows Server 2008 系统 中 ， 该 协议 的 防火 墙 
规则 已 被 默认 集成 在 高 级 安全 Windows 防火 墙 中 的 出 站 /入 站 规则 中 。 用 户 可 以 通过 修改 配置 ， 达 到 禁止 
响应 ping 或 者 禁止 ping 出 的 目的 。 


图 8-10 成 功 创建 的 入 站 规则 


四 在 高 级 安全 Windows 防火 墙 控制 台中 ,选择 “入 站 规则 ”或 “出 站 规则 ”选项 ， 右 击 需 要 配置 的 
规则 (以 “网 络 -路 由 器 请 求 ”策略 为 例 )， 选 择 快捷 菜单 中 的 “属性 ”命令 ,打开 如 图 8-11 所 示 的 
“网 络 -路 由 器 请 求 (ICMPv6-In) 属性 ”对 话 框 。 在 “常规 ”选项 卡 中 ， 选 择 “ 只 允许 安全 连接 ” 
单 选 按 钮 即 可 启用 IPSec 保护 。 

@ 切换 到 如 图 8-12 所 示 的 “作用 域 ” 选 项 卡 ， 选 择 “下 列 IP 地 址 ” 单 选 按钮 ， 单 击 “ 添 加 ”按钮 ， 
显示 “IP 地 址 ”对 话 框 ， 添 加 指定 的 本 地 或 远程 IP 地 址 即 可 。 
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图 8-11 “网 络 -路 由 器 请 求 (CMPv6-In) 属性 ”对 话 框 图 8-12 “作用 域 ”选项 卡 


@ 切换 到 如 图 8-13 所 示 的 “用 户 和 计算 机 ”选项 卡 ， 选 中 “只 允许 来 自 下 列 计算 机 的 连接 ”或 “只 
允许 来 自 下 列 用 户 的 连接 ” 复 选 框 ， 单 击 “ 添 加 ”按钮 添加 计算 机 或 用 户 即 可 。 需 要 注意 的 是 ， 
配置 此 选项 之 前 ， 必 须 确保 已 经 选择 “常规 ”选项 卡 中 的 “只 允许 安全 连接 ” 单 选 按钮 。 

图 单 击 “ 高 级 ”标签 ， 切 换 到 如 图 8-14 所 示 的 “高 级 ”选项 卡 ， 选 择 “下 列 配置 文件 ” 单 选 按钮 ， 
并 选择 需要 应 用 规则 的 配置 文件 。 

e” 域 : 当 计算 机 连接 到 其 域 账户 所 在 的 网 络 时 应 用 。 

时。 专用 : 当 计 算 机 连接 到 不 包括 其 域 账户 的 网 络 时 应 用 ， 例 如 家 庭 网 络 。 专 用 配置 文件 设置 应 该 比 
域 配 置 文件 设置 更 为 严格 。 

”公用 : 当 计 算 机 通过 公用 网 络 连 接 到 域 时 应 用 。 由 于 计算 机 所 连接 到 的 公用 网 络 通常 无 法 严格 控 
制 安全 ， 因 此 公用 配置 文件 设置 应 该 最 为 严格 。 


图 8-13 “用 户 和 计算 机 ”选项 卡 图 8-14 “高 级 ”选项 卡 
回 ”修改 规则 完成 后 ， 单 击 “ 确 定 ”按钮 应 用 并 保存 配置 。 
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8.2.2 IPSec 连接 安全 规则 


IPSec 连接 安全 规则 允许 用 户 为 满足 指定 标准 的 连接 请 求 IPSec， 这 些 标准 类 似 于 Windows 防火 墙 得 
选 器 。 例如， 用 户 可 以 为 如 下 情况 设置 IPSec 安全 规则 。 

”拒绝 来 自 指定 IP 地 址 的 所 有 通信 。 

”拒绝 所 有 来 自 默 认 网 关 的 ICMP 通信 。 

”拒绝 所 有 来 自 内 网 的 发 往 指定 端口 的 通信 。 

”限制 除了 特定 服务 器 的 所 有 出 站 连接 。 

合计 算 机 只 能 拥有 一 个 IPSec 策略。 如果 多 个 组 策略 应 用 于 一 台 计 算 机 ,每 个 组 策略 都 有 不 同 的 IPSec 

策略 ， 只 有 最 高 级 的 IPSec 策略 会 起 作用 。 


1. IPSec 规则 类 型 


使 用 默认 设置 创建 的 IPSec 规则 是 阻止 用 户 通信 的 ， 即 必须 通过 相应 身份 验证 才 可 以 。 因 此 ， 应 用 之 
前 必须 确认 要 求 认证 连接 的 服务 器 和 计算 机 ， 避 免 阻止 合法 用 户 的 连接 。 如 果 环 境 允 许 ， 建 议 部 署 IPSec 
规则 之 前 ， 在 实验 环境 中 进行 测试 。 
管理 员 可 以 创建 如 下 儿 种 类 型 的 安全 规则 。 
sm。 隔离 :隔离 规则 可 根据 用 户 定义 的 身份 验证 标准 对 连接 进行 限制 。 例 如 ， 可 以 使 用 此 规则 类 型 ， 
隔离 域 中 的 计算 机 和 域外 的 计算 机 。 
时 “身份 验证 免除 : 可 以 使 用 此 规则 类 型 ， 使 特定 的 计算 机 或 者 指定 范围 内 的 IP 地 址 (计算 机 )， 免 于 
对 自身 进行 身份 验证 ， 而 不 考虑 其 他 连接 安全 规则 。 
”服务 器 到 服务 器 使 用 此 规则 类 型 对 两 台 特 定 计算 机 之 间 、 两 个 计算 机 组 之 间 、 两 个 子 网 之 间 ， 
或 者 特定 计算 机 和 计算 机 组 或 子 网 之 间 的 通信 ， 进 行 身份 验证 。 可 以 使 用 此 规则 对 数据 库 服务 器 
和 业务 层 计算 机 之 间 ， 或 者 基础 结构 计算 机 和 其 他 服务 器 之 间 的 流量 ， 进 行 身份 验证 。 
时 隧道 : 如 果 在 不 支持 IPSec 的 网 络 中 ， 为 支持 IPSec 的 客户 端 和 服务 器 创建 IPSec 连接 安全 规则 ， 
则 必须 使 用 隧道 模式 。 这 个 类 型 的 规则 指定 了 使 用 隧道 的 主机 和 目的 主机 ， 以 及 本 地 和 远 端 的 网 
关 。 例 如 ，VPN 或 IPSec L2TP 隧道 等 。 
@。 自 定义 ;使 用 此 规则 类 型 创建 需要 特殊 设置 的 规则 。 


注意 : 若 要 创建 身份 验证 免除 规则 ， 只 需要 指定 计算 机 或 者 一 组 或 一 个 范围 内 的 了 地 址 (计算 机 ) 并 给 出 
规则 的 名 称 和 说 明 (可 选 ) 即 可 。 即 使 对 计算 机 免除 身份 验证 ,防火墙 仍 可 能 阻止 这 些 计算 机 ,除非 防火 墙 
规则 已 明确 允许 其 连接 。 


通常 情况 下 ， 隔 离 规 则 用 于 应 用 所 有 网 络 连接 的 策略 ， 服 务 器 到 服务 器 规则 用 于 只 应 用 在 特定 网 络 的 
策略 ， 免 除 认 证 规则 用 于 不 支持 IPSec 的 计算 机 。 

2. IPSec 认证 方式 

高 级 安全 Windows 防火 墙 可 以 提供 如 下 几 种 身份 验证 方法 。 


”默认 值 : 选择 此 选项 可 使 用 “本 地 计算 机 上 的 高 级 安全 Windows 防火 墙 属性 对话 框 的 “IPSec 设 
置 ” 选 项 卡 上 所 配置 的 身份 验证 方法 。 默 认 值 中 的 具体 参数 设置 如 表 8-1 所 示 。 


[306 1 


表 8-1 Windows Server 2008 中 默认 IPSec 设置 


值 
认证 方式 计算 机 (Kerberos V5) 
密 钥 交换 算法 Diffie-Hellman Group 2 
数据 完整 性 检查 方法 SHA1 
IPSec 认证 协议 ESP 
加 密 密 钥 周期 60min 或 100MB 
加 密 方法 AES-128( 主 ] 和 3-DES( 备 ) 


计算 机 和 用 户 (Kerberos V5): 这 种 方法 使 用 计算 机 和 用 户 身份 验证 ， 只 允许 认证 域 用 户 的 计算 机 
的 连接 。 首 先进 行 计算 机 认证 ， 然 后 使 用 Kerberos V5 进行 用 户 认证 来 添加 一 层 额外 保护 。 
计算 机 (Kerberos V5): 这 种 方法 请 求 或 要 求 计算 机 使 用 Kerberos V5 身份 验证 协议 进行 身份 验证 ， 
即 只 允许 域 成 员 的 计算 机 的 连接 。 为 了 确保 IPSec 使 用 Kerberos 认证 通过 受信 任 区 域 ， 必 须 使 用 
全 资格 域名 (FQDN) 来 配置 信任 区 域 。 另 外 ， 还 需要 配置 IPSec 客户 端 策 略 ， 使 其 能 够 与 任 一 域 控 
制 器 进行 通信 ， 这 样 IPSec 就 可 以 从 域 控制 器 获取 Kerberos 通行 证 。 

用 户 (Kerberos V5): 这 种 方法 请 求 或 要 求 用 户 使 用 Kerberos V5 身份 验证 协议 进行 身份 验证 。 
计算 机 证 书 : 这 种 方法 请 求 或 要 求 使 用 有 效 的 计算 机 证 书 进行 身份 验证 。 要 使 用 这 种 方法 ， 必 须 
至 少 具有 一 个 证 书 颁发 机 构 (CA)。 在 使 用 证 书 认 证 的 计算 机 之 前 ， 必 须 保证 所 有 目标 计算 机 都 有 
正确 的 CA 证 书 和 相应 的 通行 证 书 。 此 外 ， 为 了 保证 证 书 认证 能 预期 工作 ， 还 需要 在 配置 IPSec 
策略 之 前 测试 PKI 基础 设备 。 

高 级 : 允许 用 户 配置 多 种 用 户 或 计算 机 认证 方式 ， 并 且 指 定 相 应 的 优先 级 。 用 户 也 可 以 为 计算 机 
认证 使 用 预 共享 密 钥 ， 即 为 每 个 计算 机 配置 一 个 密 钥 。 因 为 预 共享 密 钥 在 生产 环境 中 很 难 改变 ， 


所 以 一 般 应 用 于 试验 环境 ， 当 任何 一 台 计算 机 受到 安全 威胁 时 ， 就 需要 改变 密 钥 。 


注意 : Kerberos V5 身份 验证 方法 仅 适 用 于 Windows 域 环境 ， 即 只 有 计算 机 或 用 户 账户 是 域 成 员 时 ， 才 可 


以 使 用 该 验证 协议 。 


用 户 可 以 根据 需要 混合 使 用 认证 方式 。 例 如 , 配置 公 网 Web 服务 器 ， 对 于 内 网 用 户 可 以 使 用 Kerberos 
认证 ， 对 于 外 网 用 户 可 以 使 用 公用 密 钥 证 书 进 行 认证 。 在 配置 完 IPSec 之 后 ， 需 要 比较 远程 主机 的 IP 地 址 
和 IPSec 策略 ， 然 后 决定 使 用 哪 种 认证 方式 。 

在 使 用 IPSec 之后， 客户 端 就 可 以 创建 一 条 通 向 服务 器 的 网 络 连接 了 。 但 是 应 用 程序 可 能 也 需要 认证 。 
例如 ， 某 个 认证 用 户 连 接 到 一 个 需要 认证 的 文件 服务 器 上 ， 当 客户 端 尝试 连接 共享 文件 夹 时 ， 可 能 仍然 需 
要 认证 。 如 图 8-15 所 示 为 IPSec 规则 网 络 通信 中 的 位 置 和 作用 示意 图 。 


3. 服务 器 和 域 隔离 


“隔离 ”最 初 上 只 是 一 种 网 络 结构 技术 ， 即 将 计算 机 置 于 单独 的 物理 网 络 中 ， 使 外 网 无 法 访问 ， 从 而 阻 
止 未 经 认证 的 用 户 访问 网 络 中 的 计算 机 。IPSec 认证 能 够 提供 高 可 靠 性 的 逻辑 隔离 ， 该 方式 允许 客户 端 连接 
各 种 网 络 。 服 务 器 和 域 隔离 只 允许 认证 用 户 建立 网 络 连接 。 认 证 发 生 在 网 络 层 ， 从 而 有 效 地 保护 网 络 通信 。 
另外 ，IPSec 还 会 加 密 受 保护 的 通信 ， 防 止 攻击 者 通过 物理 网 络 截获 数据 。 


se。 域 隔离 : 只 有 域 成 员 才 能 建立 网 络 连接 。 
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服务 器 
应 用 程序 基于 应 用 程序 的 身份 认证 
Windows 防 
火 墙 基于 端口 或 了 地 址 的 防火 培 过 滤 
IPSec 规则 验证 客户 六 身份 的 有 效 性 
网 络 NAP 外 检查 客户 端 系统 的 健康 性 
客户 端 


图 8-15 IPSec 在 网 络 通信 中 的 位 置 和 作用 


时。 服务 器 隔离 : 指定 服务 器 只 接受 来 自 受信 任 域 成 员 或 特定 组 的 域 成 员 的 网 络 连接 。 服 务 器 隔离 还 
可 以 为 那些 不 是 域 成 员 的 计算 机 提供 连接 ， 但 是 必须 要 有 受信 任 CA 颁发 的 计算 机 证 书 。 

服务 器 和 域 隔 离 可 以 有 效 降低 如 下 风险 。 

于 连接 不 受 保护 的 无 线 网 络 和 访问 不 要 求 应 用 层 认 证 的 服务 器 。 

里 “允许 任何 用 户 (包括 物理 连接 网 络 ] 访 问 的 服务 器 。 

和 ”使 用 未 认证 计算 机 连接 的 认证 用 户 。 

服务 器 和 域 隔离 只 是 安全 性 中 的 一 层 ， 不 能 防止 如 下 危险 。 

认证 用 户 使 用 了 误 用 访问 的 认证 计算 机 。 

访问 认证 计算 机 的 攻击 者 。 

攻击 认证 计算 机 和 其 他 网 络 计算 机 的 蠕虫 等 病毒 。 

攻击 者 访问 不 受 IPSec 保护 的 服务 器 。 

满足 IPSec 免除 的 未 授权 连接 。 


4. IPSec 免除 


在 Windows Server 2008 中 默认 情况 下 不 要 求 IPSec 认证 ， 用 户 只 有 需要 IPSec 通信 时 才 会 需要 IPSec 
免除 。 如 果 用 户 需 要 使 用 IPSec 认证 ， 则 需要 为 不 支持 IPSec 认证 的 连接 创建 IPSec 免除 。 通 常情 况 下 ， 管 
理 员 需 要 为 如 下 用 户 创建 IPSec 免除 。 
”最 新 配置 的 计算 机 ， 还 没有 对 IPSec 进行 配置 。 
”操作 系统 不 支持 IPSec。 
和 Gutst 账户 。 
应 尽量 减 小 免除 的 范围 ， 通 常 只 对 不 支持 IPSec 认证 的 连接 批准 免除 。 例 如 ， 管 理 员 可 以 在 来 宾 无 线 
接 入 上 为 某 主 机 添加 免除 ， 使 其 能 够 连接 代理 服务 器 和 访问 Internet。 很 多 基础 服务 器 都 需要 使 用 IPSec 
免除 。 
”DHCP 服务 器 : DHCP 服务 器 需要 通过 UDP 端口 68 来 接收 DHCP 协商 通信 ， 但 是 不 需要 IPSec。 
时。 DNS 服务 器 : 为 允许 客户 端 查找 域 控制 器 和 其 他 网 络 资源 ， DNS 服务 器 必须 允许 DNS 请 求 不 使 用 
IPSec 通过 UDP 端口 53。 

@ Windows Internet 名 称 服务 (WINS) 服 务 器 : 如 果 客 户 端 计算 机 需要 WINS 服务 器 , 则 需要 为 WINS 
请 求 所 使 用 的 UDP 端口 137 创建 一 个 免除 。 

和 域 控制 器 : 域 控制 器 必须 能 够 接受 几 种 不 受 IPSec 保护 的 、 不 同 的 通信 协议 的 连接 。 
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每 个 创建 的 免除 都 是 一 个 安全 风险 ， 必 须 仔细 评估 每 个 免除 ， 然 后 采取 措施 降低 安全 风险 。 应 考虑 攻 
击 者 使 用 免除 访问 受 保护 资源 的 所 有 可 能 性 。 例 如 ， 如 果 人 允许 未 经 认证 来 宾 用 户 访问 代理 服务 器 ， 就 要 确 
定 该 用 户 不 能 使 用 代理 服务 器 访问 其 他 受 保护 的 资源 ， 如 内 部 文件 服务 器 、FTP 服务 器 等 。 

另外 , 用户 还 应 该 使 用 物理 访问 和 网 络 访问 保护 (NAP) 来 保护 使 用 免除 的 网 络 。 例如 ， 如 果 需 要 为 一 台 
新 配置 的 计算 机 创建 一 个 免除 ， 那 么 可 以 使 用 物理 锁 来 限制 网 络 访问 。 这 将 防止 受 IPSec 保护 的 计算 机 去 
访问 那些 允许 不 受 IPSec 保护 计算 机 访问 的 资源 ， 可 以 降低 机 密 信息 突然 外 泄 给 未 认证 计算 机 的 危险 ， 以 
及 降低 来 自 未 认证 计算 机 的 病毒 攻击 内 网 计算 机 的 危险 。 

最 后 , 还 需要 应 用 深度 防御 安全 法 则 , 不 能 仅 依靠 IPSec 的 安全 性 。 如 果 内 网 的 Web 服务 器 需要 IPSec， 
那么 用 户 还 需要 在 Web 应 用 程序 中 使 用 认证 。 同 样 ， 如 果 使 用 IPSec 加 密 E-mail 服务 器 的 通信 ， 则 还 需要 
启动 应 用 层 加 密 (例如 ，SSL 证 书 加 密 )。 

如 图 8-16 所 示 为 IPSec 连接 策略 在 网 络 中 的 基本 部 署 。 域 隔离 应 该 用 于 限制 连接 到 域 成 员 的 IPSec 
连接 。 


211. 82. 216. 0/24 


DNS Proxy E-mail Intranet Web 
对 内 网 DNS 请 求 不 启用 IPSec 
对 所 有 共 他 隐 络 请 六 局 用 IPSeo 对 所 有 网 交 连 按 清 来 启用 1PSec 保 护 
对 来 宾 账 户 不 启用 1PSec， Ee 
: 对 接收 邮件 连接 不 启用 IPSec， 
对 所 有 其 他 网 络 请 求 启用 TPSec| 对 发 送 邮件 连接 启用 IPSec 


图 8-16 使 用 免除 的 隔离 示例 


5. 创建 IPsec 规则 


@ 打开 “高 级 安全 Windows 防火 墙 ” 窗口 ， 右 击 “ 连 接 安全 规则 ”， 选 择 快捷 菜单 中 的 “新 规则 ” 
命令 ， 启 动 “ 新 建 连接 安全 规则 向 导 ”， 默 认 显示 如 图 8-17 所 示 的 “规则 类 型 ”界面 。 

@ 选择 “ 自 定义 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8-18 所 示 的 “终结 点 ”界面 。 终 结 点 
是 形成 对 等 端 连接 的 计算 机 或 计算 机 组 ， 可 以 是 指定 的 单个 计算 机 ， 也 可 以 是 一 个 本 地 子 网 。 选 
择 “ 下 列 瑟 地 址 ” 单 选 按钮 ， 单 击 “ 添 加 ”按钮 ， 即 可 添加 终结 点 计算 机 。 

回 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 8-19 所 示 的 “要 求 ” 界 面 ， 为 出 站 和 入 站 连接 选择 是 否 需 进行 身 
份 验证 。 身 份 验证 并 不 能 提供 很 好 的 安全 性 ， 因 为 恶意 攻击 者 会 选择 不 需要 认证 ， 但 是 它 可 以 将 
所 有 不 支持 IPSec 或 没有 证 书 的 连接 都 退回 。 当 所 有 合法 客户 端 都 支持 IPSec 时 ， 可 以 为 入 站 连 
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接 选 择 要 求 安全 认证 ， 当 所 有 服务 器 都 支持 IPSec 时 ， 可 以 为 出 站 连接 选择 要 求 安全 认证 。 本 例 
中 选择 “入 站 和 出 站 连接 请 求 身份 验证 ” 单 选 按钮 。 高 级 安全 Windows 防火 墙 可 以 提供 如 下 几 种 
身份 验证 要 求 。 


图 8-17 “规则 类 型 ”界面 


图 8-18 “终结 点 ”界面 


里 “请求 对 入 站 和 出 站 连接 进行 身份 验证 : 使 用 此 选项 要 求 对 所 有 入 站 和 出 站 流量 进行 身份 验证 ， 但 
在 身份 验证 失败 时 允许 连接 。 如 果 可 以 进行 身份 验证 ， 则 将 对 流量 进行 身份 验证 。 此 选项 通常 用 
于 低 安全 性 环境 或 计算 机 必须 可 以 连接 的 环境 , 但 不 能 执行 高 级 安全 Windows 防火 墙 所 具备 的 身 
份 验证 。 

”要 求 对 入 站 连接 进行 身份 验证 并 请 求 对 出 站 连接 进行 身份 验证 ， 使 用 此 选项 要 求 对 所 有 入 站 流量 
进行 身份 验证 ， 否 则 将 阻止 该 流量 。 可 以 对 出 站 流量 进行 身份 验证 ， 但 身份 验证 失败 时 仍然 允许 
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其 通过 。 如 果 对 出 站 流量 可 以 进行 身份 验证 ， 则 将 对 该 流量 进行 身份 验证 。 

时。 要 求 对 入 站 和 出 站 连接 进行 身份 验证 :使 用 此 选项 要 求 对 所 有 入 站 和 出 站 流量 进行 身份 验证 ， 否 
则 将 阻止 该 流量 。 此 选项 通常 用 于 高 安全 性 的 网 络 环境 ， 其 中 流量 必须 受到 保护 和 控制 ， 且 必须 
能 进行 连接 的 计算 机 可 以 执行 具有 高 级 安全 性 的 Windows 防火 墙 所 具备 的 身份 验证 类 型 。 

a 不 进行 身份 验证 : 对 所 有 入 站 和 出 站 连接 请 求 均 不 进行 任何 身份 验证 ， 此 种 方式 安全 性 最 低 。 


图 8-19 “要 求 ”界面 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8-20 所 示 的 “身份 验证 方法 ”界面 ， 选 择 希望 使 用 的 身份 验证 方 
法 ， 本 例 选 择 “ 默 认 值 ” 单 选 按钮 。 除 此 之 外 ， 用 户 也 可 以 选择 “高 级 ” 单 选 按钮 ， 重 新 定义 自 
己 需 要 的 身份 验证 方法 。 


图 8-20 “身份 验证 方法 ”界面 
图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8-21 所 示 的 “配置 文件 ”界面 ， 选 择 需 要 应 用 规则 的 配置 文件 ， 
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图 8-21 “配置 文件 ”界面 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8-22 所 示 的 “名 称 ”界面 ， 在 “名 称 ” 和 “描述 ”文本 框 中 ， 分 
别 输入 规则 名 称 和 描述 即 可 。 


图 8-22 “名 称 ”界面 


@ 单 击 “ 完 成 ”按钮 关闭 向 导 ， 完 成 新 规则 的 创建 。 

6. 配置 ICMP 免除 

管理 员 经 常 使 用 ICMP 协议 中 的 ping 命令 来 判断 服务 器 是 否 在 线 。 如 果 服 务 器 的 IPSec 阻止 了 管理 员 
的 ping 命令 ， 那 么 将 使 管理 员 误 认 为 服务 器 不 在 线 。 和 IPSec 免除 类 似 ， 为 ICMP 创建 免除 也 会 有 轻微 的 
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风险 。 攻 击 者 可 能 会 使 用 ICMP 为 网 络 创建 一 个 地 图 ， 从 而 发 动 恶意 攻击 。 

@ 在 高 级 安全 Windows 防火 墙 控制 台中 ， 右 击 “ 本 地 计算 机 上 的 高 级 安全 Windows 防火 墙 ”， 在 
弹出 的 快捷 菜单 中 选择 “属性 ”选项 ， 打 开 如 图 8-23 所 示 的 “高 级 安全 Windows 防火 墙 -本 地 组 
策略 对 象 属性 ”对 话 框 ， 默 认为 “ 域 配置 文件 ”选项 卡 。 

@ 切换 到 如 图 8-24 所 示 的 “IPSec 设置 ” 选项 卡 ， 在 “从 IPSec 免除 ICMP” 下 拉 列 表 框 中 选择 “是 ” 
选项 ， 单 击 “ 确 定 ”按钮 即 可 。 


图 8-23 “高 级 安全 Windows 防火 墙 - 本 地 组 策略 对 象 属性 ”对 话 框 图 8-24 “IPSec 设置 ”选项 卡 


8.3 ”使 用 组 策略 配置 Windows 防火 墙 


从 Windows XP 操作 系统 [Windows XP HomeEdition 除外 ] 开 始 ， 系 统 就 已 经 集成 Windows 防火 墙 。 
因此 , 在 中 小 型 网 络 环境 中 , 通过 使 用 Active Directory 和 组 策略 ,可 以 集中 配置 Windows 防火 墙 的 设置 ， 
并 将 这 些 设置 应 用 到 所 有 Windows XP SP2 客户 端 计算 机 。 用 户 可 以 在 Windows Vista 和 Windows Server 
2008 计算 机 的 组 策略 控制 台中 ， 通 过 如 下 两 种 方式 配置 和 管理 高 级 安全 Windows 防火 墙 。 
和 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “高 级 安全 Windows 防火 墙 ”一 “高 级 
安全 Windows 防火 墙 -本 地 组 策略 对 象 ”: 这 种 节点 设置 主要 应 用 于 Windows Vista 和 Windows 
Server 2008。 建 议 用 户 使 用 这 种 方式 ， 因 为 这 里 可 以 提供 更 加 详细 的 防火 墙 规则 配置 ， 并 且 允 许 
用 户 配 置 新 的 认证 类 型 和 新 的 加 密 选项 。 

到。 “计算 机 配置 ”一 “管理 面板 ”一 “网 络 ” 一 “网 络 连接 ”一 “Windows 防火 墙 ”: 这 种 节点 设 
置 主要 应 用 于 Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008。 这 
种 方法 要 比 上 面 那 种 缺少 灵活 性 ;但 是 ,可 以 应 用 于 所 有 版 本 的 Windows 防火 墙 .如 果 在 Windows 
Vista 中 使 用 的 不 是 最 新 的 IPSec 功能 ， 可 以 使 用 这 种 方式 配置 所 有 客户 端 。 


8.3.1 创建 组 策略 


为 了 达到 最 好 的 效果 ， 需 要 为 Windows XP/Windows Server 2003/Windows Vista/Windows Server 
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2008 创建 单独 的 组 策略 ， 然 后 使 用 WMI 请 求 定位 组 策略 到 运行 适当 Windows 版 本 的 计算 机 。 
外 ”以 具有 域 管理 员 权限 的 用 户 登 录 到 域 控制 器 ， 单 击 “ 开 始 ” 一 “管理 工具 ”一 “组 策略 管理 ” 命 
令 ， 打开 “组 策略 管理 ”窗口 。 依 次 展开 “ 林 ” 一 “ 域 ”一 “coolpen.net” 选 项 ， 右 击 新 建 策略 
应 用 到 的 组 织 单位 ， 选 择 快捷 菜单 中 的 “在 这 个 域 中 创建 GPO 并 在 此 处 链接 ”命令 ， 显 示 如 图 
8-25 所 示 的 “新 建 GPO” 对 话 框 ， 在 “名 称 ” 文 本 框 中 ， 输 入 希望 使 用 的 策略 名 称 ， 如 Windows 
防火 墙 。 
@ 单 击 “ 确 定 ” 按 钮 ， 返 回 如 图 8-26 所 示 的 “组 策略 管理 ”窗口 。 


日 加 st 0 


本 总 


图 8-25 “新 建 GPO” 对 话 框 图 8-26 “组 策略 管理 ”窗口 

回 右 击 “Windows 防火 墙 ， 选 择 快捷 菜单 中 的 “编辑 ”命令 ， 显 示 如 图 8-27 所 示 的 “组 策略 管 
理 编辑 器 ”窗口 ， 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “管理 模板 ”一 “网 络 ” 一 “网 络 连接 ” 
一 “Windows 防火 墙 ”选项 。 


图 8-27 “组 策略 管理 编辑 器 ”窗口 
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8.3.2 ”Windows 防火 墙 : 允许 通过 验证 的 IPsec 旁 路 


该 策略 将 允许 来 自 指定 系统 的 未 经 请 求 的 传 入 消息 ,如 果 和 
启用 该 策略 设置 ， 必 须 输入 包含 计算 机 或 计算 机 组 的 列表 的 证 | 而 | | 
安全 描述 符 。 如 果 列 表 上 的 计算 机 通过 使 用 IPSec 的 验证 ， CE 
Windows 防火 墙 不 会 阻止 未 经 请 求 的 消息 。 如 果 禁 用 或 不 配 
置 该 策略 设置 ，Windows 防火 墙 不 会 对 计算 机 发 送 的 消息 进 
行 例 外 处 理 ， 即 使 计算 机 通过 了 IPSec 的 验证 。 

在 “组 策略 管理 编辑 器 ”窗口 中 ， 双 击 “Windows 防火 
墙 : 允许 通过 验证 的 IPSec 旁 路 ”策略 ， 打 开 如 图 8-28 所 示 
的 “Windows 防火 墙 : 允许 通过 验证 的 IPSec 旁 路 属性 ”对 
话 框 。 根 据 需 要 选择 “已 启用 ”或 者 “已 禁用 ” 单 选 按钮 ， | 
即 可 完成 策略 的 设置 。 | 


图 8-28 “Windows 防火 墙 ， 允 许 通 过 验证 的 


8.3.3 ”标准 配置 文件 / 域 配置 文件 IPsec 旁 路 属性 ”对 话 框 


Windows 防火 墙 配置 文件 分 为 标准 配置 文件 和 域 配置 文件 。 标 准 配置 文件 是 基于 本 地 计算 机 的 
Windows 防火 墙 配置 ， 域 配置 文件 是 基于 AD 的 网 络 防火 墙 配置 。 标 准 配置 文件 和 域 配置 文件 下 的 子 策略 
所 完成 的 功能 ， 与 “Windows 防火 增 ” 设 置 所 完成 的 功能 相同 。 

这 里 以 域 配置 文件 为 例 , 介绍 如 何在 组 策略 下 配置 Windows 防火 墙 。 打开 组 策略 控制 台 , 依次 展开 “ 计 
算 机 配置 ”一 “Windows 设置 ”一 “管理 模板 ”一 “网 络 ” 一 “网 络 连接 ”一 “Windows 防火 墙 ” 一 “ 域 
配置 文件 ”选项 ， 在 右 侧 列表 中 显示 Windows 防火 墙 域 配置 文件 策略 中 的 所 有 子 策略 ， 如 图 8-29 所 示 。 


到 到 巴巴 呈 吕 加 厂 到 到 到 双双 


图 8-29 域 配置 文件 窗口 


例如 , 配置 “Windows 防火 墙 : 允许 本 地 程序 例外 ”策略 。 如 果 启 用 该 策略 设置 , 将 允许 用 户 在 Windows 
防火 墙 组 件 中 向 本 地 程序 中 添加 例外 列表 。 双 击 右 侧 窗口 中 的 “Windows 防火 墙 : 允许 本 地 程序 例外 ” 策 
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略 ， 打 开 “Windows 防火 墙 : 允许 本 地 程序 例外 属性 ”对 话 框 ， 如 图 8-30 所 示 。 根 据 需 要 选择 “已 启用 ” 
单 选 按钮 ， 即 可 启用 该 策略 。 


图 8-30 “Windows 防火 墙 : 允许 本 地 程序 例外 属性 ”对 话 框 
8.4 配置 Windows 防火 墙 事 件 审 核 


默认 情况 下 ， 系 统 没有 启用 对 Windows 防火 墙 的 事件 审核 设置 。 如 果 需 要 确定 应 用 过 程 中 ,哪些 应 用 
程序 或 端口 被 设置 为 例外 , 或 者 处 理 运行 故障 时 ,启用 Windows 防火 墙 日 志 、Windows 防火 墙 审核 和 网 
络 跟踪 会 很 有 帮助 。 管 理 员 可 以 通过 查看 时 间 查 看 器 中 的 相关 日 志 ， 详 细 了 解 工 作 过 程 中 的 状态 变化 。 


8.4.1 启用 审核 设置 


若 要 配置 Windows 防火 墙 事 件 审核 , 必须 以 具有 系统 管理 员 权 限 的 用 户 账户 登录 系统 ,启用 本 地 策略 
中 的 “审核 策略 更 改 ”、“ 审 核 进程 跟踪 ”和 “审核 系统 事件 ”策略 。 单 击 “ 开 始 ”按钮 ， 在 “开始 搜索 ” 
文本 框 中 输入 gpeditmsc， 按 Enter 键 显示 如 图 8-31 所 示 的 “本 地 组 策略 编辑 器 ”窗口 。 如 果 是 在 域 环境 
中 部 署 所 有 客户 端 Windows 防火 墙 ， 则 直接 以 域 管理 员 账 户 编辑 域 策略 中 的 相关 设置 即 可 。 
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图 8-31 “本 地 组 策略 编辑 器 ”窗口 
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1. 审核 策略 更 改 


在 “本 地 组 策略 编辑 器 ”窗口 中 ， 双 击 “ 审 核 策略 更 改 ” 策 略 ， 显 示 如 图 8-32 所 示 的 “审核 策略 更 改 
属性 ”对 话 框 。 选 中 “成 功 ”或 者 “失败 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 ， 即 可 完成 策略 的 设置 。 
审核 策略 更 改 产 生 的 安全 事件 中 ， 与 Windows 防火 墙 相关 的 事件 如 表 8-2 所 示 。 


表 8-2 与 Windows 防火 墙 相关 的 策略 更 改 事件 


事件 ID 消 息 
4944 Windows 防火 墙 启 动 时 下 列 策略 处 于 活动 
4945 Windows 防火 墙 启动 时 被 列 出 规则 
4946 Windows 防火 墙 例 外 列表 已 被 进行 更 改 ， 添 加 规则 
4947 Windows 防火 墙 例外 列表 已 被 进行 更 改 ， 修 改 规则 
4948 Windows 防火 墙 例外 列表 已 被 进行 更 改 ， 删 除 规则 
4949 Windows 防火 墙 设置 已 还 原 为 默认 值 
4950 Windows 防火 墙 设置 已 经 更 改 
4951 规则 已 忽略 ， 因 为 通过 Windows 防火 墙 无 法 识别 其 主 版 本 号 
4952 由 于 通过 Windows 防火 墙 无 法 识别 其 次 要 版 本 号 部 分 规则 已 被 忽略 ， 将 强制 规则 的 其 他 部 分 
4953 因为 无 法 解析 规则 ， 已 忽略 通过 Windows 防火 墙 
4954 Windows 防火 墙 组 策略 设置 已 更 改 ， 已 应 用 新 设置 
4956 Windows 防火 墙 已 更 改 活动 配置 文件 
4957 Windows 防火 墙 未 应 用 以 下 规则 
4958 由 于 规则 引用 此 计算 机 上 没有 配置 项 目 ， 没 有 Windows 防火 墙 采 用 以 下 规则 
2. 审核 进程 跟踪 


在 “本 地 组 策略 编辑 器 ”窗口 中 ， 双 击 “审核 过 程 跟踪 ”策略 ， 显 示 如 图 8-33 所 示 的 “审核 进程 跟踪 
属性 ”对 话 框 。 根 据 需要 选中 “成 功 ”或 者 “失败 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 ， 即 可 完成 策略 的 设置 。 


EIT x HII x 
本 地 全 讼 垩 | 放 明 | 下 症 ReM 于 | | 
对 we wm 
审 棋 这 上 可 作 本 扣 作 
万 不 办 5S) 所 成 由 G) 
万 失 网 四 ) 户 兴 殉 ) 
二 cit 二 pan 
10) eet400) 
Ci ws |_spw | Ce ww | saw | 
图 8-32 “审核 策略 更 改 属性 ”对 话 框 图 8-33 “审核 进程 跟踪 属性 ”对 话 框 


由 “审核 详细 跟踪 ”安全 策略 设置 所 生成 的 安全 事件 如 表 8-3 所 示 。 
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@ Windows Server 2008 二 学 3 下 


表 8-3 ”审核 进程 跟踪 事件 


事件 ID 消 息 

4688， 已 创建 一 个 新 进程 
4689 进程 已 退出 
4692 尝试 数据 保护 主 密 钥 备份 
4693 尝试 对 数据 保护 主 密 钥 进行 恢复 
4694 尝试 保护 的 审计 保护 数据 
4695 尝试 未 保护 的 审计 保护 数据 
4696 主 令 牌 被 分 配给 处 理 
5712 试图 远程 过 程 调用 (RPC) 

3. 审核 系统 事件 


审核 系统 事件 中 包括 Windows 防火 墙 应 用 程序 的 工作 过 程 , 如 启动 、 停止 等 。 在 “本 地 组 策略 编辑 器 ” 
窗口 中 ， 双 击 “ 审 核 系统 事件 ”策略 ， 显 示 如 图 8-34 所 示 的 “审核 系统 事件 属性 ”对 话 框 。 根 据 需 要 选 
中 “成 功 ” 或 者 “失败 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 策略 的 设置 。 
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8-34 “审核 系统 事件 属性 ”对 话 框 
审核 策略 更 改 产生 的 安全 事件 中 ， 与 Windows 防火 墙 相关 的 事件 如 表 8-4 所 示 。 
表 8-4 与 Windows 防火 墙 相关 的 系统 事件 


事件 ID 消 息 
5024 Windows 防火 墙 服务 成 功 启动 
5025 Windows 防火 墙 服务 已 停止 
5027 Windows 防火 墙 服务 无 法 从 本 地 存储 器 检索 安全 策略 。 服 务 将 继续 强制 当前 策略 
5028， Windows 防火 墙 服务 无 法 分 析 新 安全 策略 。 服 务 将 继续 强制 当前 实施 策略 
5029 Windows 防火 墙 服务 无 法 初始 化 驱动 程序 。 服 务 将 继续 强制 当前 策略 
5030 Windows 防火 墙 服务 无 法 启动 
5032 Windows 防火 墙 无 法 通知 用 户 阻止 应 用 程序 接受 传 入 连接 在 网 络 上 
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续 表 


事件 ID 消 息 
i | windows 防火 墙 驱 动 程序 成 功 启动 
5034 | windows 防火 墙 驱 动 程序 已 停止 
5035 | winaows 防火 墙 驱动 程序 无 法 启动 


5037 Windows 防火 墙 驱 动 程序 检测 到 关键 运行 错误 ， 终止 


8.4.2 ”查看 Windows 防火 墙 事件 


启用 审核 策略 后 , 即 可 通过 Windows Server 2008 系统 的 事件 查看 器 ,查看 和 管理 Windows 防火 墙 工 
作 过 程 中 产生 的 安全 事件 。 事 件 日 志 中 记录 了 事件 发 生 的 时 间 、 事 件 来 源 、 用 户 账户 、 操 作 代码 及 了 解 详 
细 相 关 信 息 的 超级 链接 。 在 Windows Server 2008 系统 中 ， 事件 日 志 详 细 信 息 的 基础 结构 完全 符合 XML 架 
构 ， 而 且 可 以 访问 代表 指定 事件 的 XML。 这 也 是 Windows Server 2008 区 别 于 Windows Server 2003 的 主 
要 方面 之 一 。 
@ 单 击 “开始 ”一 “管理 工具 ”一 “事件 查看 器 ”命令 , 打开 “事件 查看 器 ”窗口 , 依次 展开 “Windows 
日 志 ” 一 “安全 ”选项 ， 如 图 8-35 所 示 。 系 统 默 认 已 经 启动 “预览 窗 格 ” 功 能 ， 即 在 事件 列表 中 
选择 时 间 后 ， 将 自动 显示 相应 预览 信息 。 


图 8-35 “事件 查看 器 ”窗口 


@ 单 击 “ 事 件 ID” 标 签 ， 按照 时 间 ID 排序 后 ， 找 到 希望 查看 的 Windows 防火 墙 事件 即 可 。 双 击 事 
件 打 开 如 图 8-36 所 示 的 “事件 属性 - 事件 5024” 对 话 框 ， 在 “常规 ”选项 卡 中 ， 可 以 查看 该 
事件 的 来 源 、 类 型 、 级 别 、 时 间 等 信息 。 

图 单 击 “ 详 细 信息 ”标签 ， 切 换 至 如 图 8-37 所 示 的 “详细 信息 ”选项 卡 ， 系 统 默认 以 “友好 视图 ” 

方式 显示 。 

选择 “XML 视图 ” 单 选 按钮 ， 即 可 以 XML 视图 方式 显示 事件 详细 信息 ， 如 图 8-38 所 示 。 

单 击 “关闭 ”按钮 ， 关 闭 “ 事 件 属性 ”对 话 框 即 可 。 
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图 8-36 “事件 属性 - 事件 5024” 对 话 框 


事件 属性 - 事件 5024, Wicre 


图 8-37 “详细 信息 ”选项 卡 


- <Event 
xmins="http:/ /schemas.microsoft.com/win/2004/08/events/t 
- <System> 


Provider Name="Microsoft-Windows-Security-Auditing” 
Gud="{54849625-5478-4994-a5ba- 


图 8-38 XML 视图 
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8.4.3 ”筛选 Windows 防火 墙 事件 


启动 任何 一 项 审核 策略 都 会 产生 大 量 的 事件 日 志 ， 而 其 中 与 Windows 防火 墙 运 行 相关 的 内 容 并 不 多 。 
通过 筛选 相关 日 志 ， 可 以 快速 查看 需要 的 目标 事件 。 在 事件 筛选 器 中 ， 用 户 可 以 指定 关键 字 、 事 件 ID、 事 
件 来 源 等 筛选 信息 。 
Q@ 在 “事件 查看 器 ”窗口 中 , 依次 展开 “Windows 日 志 ” 一 “安全 ”选项 。 在 “操作 ” 栏 中 单 击 “ 筛 
选 当前 日 志 ” 链 接 ， 打 开 如 图 8-39 所 示 的 “筛选 当前 日 志 ” 对 话 框 。 例 如 按照 事件 ID 筛选 ,在 
“包括 /排除 事件 ID” 文 本 框 中 ， 输 入 希望 查看 的 事件 ID 号 或 ID 范围 。 


提示 :如 果 和 要 查看 多 个 事件 , 则 ID 号 之 间 必 须 以 过 号 分 隔 .如 果 要 包括 一 个 范围 的 ID, 例 如 5024 到 5033( 包 
括 5033)， 则 可 以 输入 “5024-5033”。 如 果 希 望 第 选 器 显示 包括 除 某 些 ID 以 外 所 有 ID 的 事件 ， 则 输入 
这 些 排除 的 ID， 前面 加 一 个 减 号 。 例如， 若 要 包括 5024 和 5033 之 间 除 5032 以 外 的 所 有 ID， 则 可 以 输 
入 “5024-5033.-5032”。 


回 单 击 “确定 ”按钮 ， 即 可 开始 筛选 。 完 成 后 ， 显 示 如 图 8-40 所 示 的 结果 。 直 接 在 “已 筛选 日 志 ” 
列表 中 ， 双 击 希 望 查看 的 事件 日 志 即 可 。 


图 8-39 “筛选 当前 日 志 ” 对 话 框 图 8-40 ”筛选 事件 日 志 
加 单 击 “ 清 除 筛 选 器 ”链接 ， 即 可 清除 当前 筛选 结果 ， 返 回 相应 的 事件 分 组 。 


8.4.4 配置 Windows 防火 墙 日 志文 件 


Windows 防火 墙 应 用 程序 本 身 在 运行 过 程 中 ， 也 会 产生 相应 的 日 志 。 与 系统 事件 不 同 的 是 ， 这 些 日 志 
主要 记录 运行 过 程 中 各 个 防火 墙 规则 的 变化 情况 ， 并 且 用 户 可 以 为 不 同 作用 域 的 防火 墙 规 则 指定 不 同 的 日 
志文 件 。 需 要 注意 的 是 ， 该 日 志 默 认 是 未 配置 的 ， 即 不 对 任何 规则 执行 情况 进行 记录 。 

Q@ 打开 “高 级 安全 Windows 防火 墙 ”窗口 ， 右 击 “ 本 地 计算 机 上 的 高 级 安全 Windows 防火 墙 ”， 

在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 打开 如 图 8-41 所 示 的 “本 地 计算 机 上 的 高 级 安全 Windows 
防火 墙 属性 ”对 话 框 。 
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回 在 “日 志 ” 选 项 区 中 单 击 “ 自 定义 ”按钮 ， 显 示 如 图 8-42 所 示 的 “ 自 定义 专用 配置 文件 的 日 志 
设置 ”对 话 框 。 在 “名 称 ” 文 本 框 中 ， 显 示 的 是 日 志文 件 的 默认 保存 路 径 和 名 称 : %Systemroot%\ 
System32\LogFiles\Firewall\pfirewalllog。 在 “大 小 限制 ”文本 框 中 ， 可 以 自 定义 日 志文 件 的 最 
大 值 ， 以 确保 不 丢失 任何 信息 。 在 “记录 被 丢弃 的 数据 包 ” 和 “记录 成 功 的 连接 ”下 拉 列 表 框 中 ， 
均 选择 “是 ”选项 即 可 ;系统 默认 选择 “ 否 ” 选 项 ， 即 不 启用 日 志 。 

本 地 计 条 机 上 的 忘 级 支 全 winzees 防 兴 漳 展 眉 <| 


地 8 禾 交 件 | 专用 文件 | 公 抽 到 和 文 首 | Trsez 设 理 | 
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图 8-41 “本 地 计算 机 上 的 高 级 安全 Windows 图 8-42 “ 自 定义 专用 配置 文件 的 
防火 墙 属性 ”对 话 框 日 志 设置 ”对 话 框 
@ 单 击 “确定 ”按钮 ， 保 存 设置 即 可 。 
在 “专用 配置 文件 ”和 “公用 配置 文件 ”选项 卡 中 ， 同 样 可 以 对 相应 作用 域 的 防火 墙 规则 配置 日 志文 
件 。 既 可 以 使 用 和 “ 域 配置 文件 ”相同 的 目标 日 志文 件 ， 也 可 以 重新 指定 。 为 了 便于 查看 和 管理 ， 建 议 为 
不 同 作用 范围 的 防火 墙 规则 指定 不 同 的 日 志文 件 。 


8.5 Windows 防火 墙 的 维护 


Windows 防火 墙 的 运行 维护 主要 包括 以 下 内 容 。 
当 新 的 服务 器 应 用 程序 安装 后 ， 为 其 调整 入 站 筛选 规则 。 
对 于 不 支持 IPSec 的 计算 机 和 网 络 添加 连接 安全 规则 的 免除 功能 。 
当 IP 地 址 变化 时 升级 规则 ， 可 以 通过 修改 高 级 安全 Windows 防火 墙 控制 台中 的 规则 属性 完成 。 
时“ 当 计算 机 升级 操作 系统 时 ， 移 除 免除 [或 者 扩展 现 有 规则 着 盖 范 围 ] 。 
因为 Windows 防火 墙 的 变动 有 着 严重 的 安全 牵连 ， 所 有 的 变动 都 要 按照 微软 操作 构架 (MOF) 来 进行 ， 
大 致 过程 如 下 。 
”请 求 改变 :提交 一 份 请 求 变化 的 文档 后 才能 正式 开始 改变 。 
里 “分 类 改变 : 为 改变 分 配 一 个 优先 级 和 类 别 ， 根 据 在 基础 设备 和 用 户 中 的 紧急 程度 和 影响 来 进行 改 
变 。 这 种 分 配 将 影响 执行 速度 和 路 由 。 
时 “认证 改变 : 这 种 改变 与 否 取决 于 应 用 程序 功能 性 、 网 络 性 能 和 安全 威胁 。 
于“ 发展 改 变 : 计划 这 项 改变 ， 包 括 在 实验 环境 中 进行 测试 ， 决 定 新 的 规则 是 否 可 以 配置 到 试点 组 的 
所 有 计算 机 上 。 
于 “释放 改变 : 在 生产 环境 中 释放 和 更 改 这 项 设置 。 
里 。 重 现 改变 : 执行 后 回顾 这 项 改变 是 否 达到 了 目的 ， 然 后 决定 是 保持 这 项 改变 还 是 回复 到 原来 的 状态 。 
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一 旦 发 生 系统 入 侵 事 件 ， 安 全 管理 员 首 先 要 清楚 攻 
击 类 型 、 事 件 和 目标 应 用 程序 ， 以 便 采 取 相 应 的 补救 措 
施 。 系 统 事件 日 志 就 是 这 一 切 重要 信息 的 唯一 来 源 。 根 
据 Windows Server 2008 系统 的 事件 日 志 功 能 , 通过 “ 事 
件 查 看 器 ”可 以 查看 所 有 系统 日 志 ， 以 及 已 安装 网 络 服 
务 的 运行 日 志 。 通 过 系统 提供 的 “性 能 计数 器 警报 ” 功 
能 ， 还 可 以 为 服务 器 的 相关 功能 设置 警报 阀 值 ， 如 CPU、 
内 存 、 进 程 、 文 件 访问 等 运行 情况 ， 一 旦 达到 阀 值 ， 系 
统 将 自动 向 管理 员 发 出 警告 ， 做 到 防 患 于 未 然 。 


个 关键 记 


事件 查看 器 
安全 性 日 志 
可 靠 性 和 性 能 
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9.1 事件 查看 器 


Windows 事件 查看 器 可 用 于 浏览 和 管理 事件 日 志 ， 是 监视 系统 的 运行 状况 以 及 在 出 现 问题 时 解决 问题 
的 必 不 可 少 的 工具 。 通 常情 况 下 ， 计 算 机 存储 的 日 志 类 型 包括 Windows 系统 日 志 、 服 务 器 角色 日 志 、 应 用 
程序 和 服务 日 志 。 其 中 ，Windows 系统 日 志 是 系统 默认 的 ， 包 括 应 用 程序 、 安 全 、 安 装 程序 、 系 统 和 转发 
的 事件 等 5 部 分 ， 服 务 器 角色 日 志和 应 用 程序 日 志 则 取决 于 当前 服务 器 运行 服务 和 应 用 程序 。 
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事件 基本 信息 


事件 日 志 类 似 于 日 记 ， 主 要 用 于 记录 某 一 系统 事件 发 生 的 日 期 、 时 间 等 基本 信息 ， 事 件 是 操作 系统 在 
某 一 时 刻 对 某 一 系统 资源 或 者 网 络 资源 发 生 的 访问 操作 ， 而 记录 的 一 系列 行为 。 该 行为 包含 当前 的 日 期 、 
时 间 、 用 户 、 计 算 机 、 来 源 、 事 件 、 类 型 、 分 类 等 信息 。 表 9-1 中 列 出 了 事件 的 基本 要 素 及 描述 。 


要 素 


表 9-1 事件 基本 信息 
描 述 


日 期 和 时 间 _| 事件 发 生 的 日 期 和 时 间 。 事 件 的 日 期 和 时 间 以 世界 协调 时 间 (UTC) 存 储 ， 但 始终 按 查 看 者 的 区 域 设置 显示 


用 户 


计算 机 
来 源 


事件 ID 


级 别 


操作 代码 
日 志 
任务 类 别 
关键 字 


事件 发 生 所 代表 的 用 户 的 名 称 。 如 果 事 件 实际 上 是 由 服务 器 进程 所 引起 的 ， 则 该 名 称 为 客户 ID， 如 果 没 
有 发 生 模仿 的 情况 ， 则 为 主 ID。 在 可 用 时 ， 安 全 日 志 条 目 包括 主 ID 和 模仿 ID。 当 该 服务 器 允许 一 个 进程 
采用 另 一 个 进程 的 安全 属性 时 ， 则 产生 模仿 

产生 事件 的 计算 机 的 名 称 。 这 通常 是 用 户 自己 的 计算 机 的 名 称 ， 除 非 在 另 一 台 计算 机 上 查看 事件 日 志 
记录 事件 的 应 用 程序 ， 它 可 为 程序 名 (如 SQLServerj、 系 统 的 组 件 (如 驱动 程序 ] 或 大 程序 的 组 件 。 例 如 ， 
Elnkii 指示 EtherLinkIL 驱动 程序 。“ 来 源 ” 始 终 使 用 其 原始 语言 

标识 此 来 源 的 特定 事件 类 型 的 数字 。 说 明 的 第 一 行 一 般 包 含 事件 类 型 的 名 称 。 例 如 ，6005 是 在 启动 事件 
日 志 服务 时 所 发 生 事件 的 ID。 这 类 事件 说 明 的 第 一 行 是 “事件 日 志 服务 已 启动 ”。 通 过 结合 使 用 “来源” 
和 "事件 "的 值 ， 产 品 支 持 代理 可 解决 系统 问题 

事件 严重 性 的 分 类 ， 包 括 信息 、 警 告 、 错 误 、 关 键 、Success Audit、 审 核 失败 等 6 个 级 别 。 在 “事件 查看 
器 "中 的 正常 列表 方式 下 查看 ， 它 们 都 由 一 个 符号 表示 

包含 标识 活动 或 应 用 程序 引起 事件 时 正在 执行 的 活动 中 的 点 的 数字 值 。 例 如 ， 初 始 化 或 关闭 

已 记录 事件 的 日 志 的 名 称 

用 于 表示 事件 发 行者 的 子 组 件 或 活动 

可 用 于 筛选 或 搜索 事件 的 一 组 类 别 或 标记 ， 包 括 “ 网 络 ”、“ 安 全 ”或 “未 找到 资源 ” 


9.1.2 事件 的 类 型 


Windows 操作 系统 中 定义 了 6 种 事件 类 型 ， 系 统管 理 员 可 以 根据 关注 的 事件 的 性 质 筛选 希望 查看 的 事 
件 。 表 9-2 列 出 了 Windows 系统 定义 的 事件 类 型 ， 及 每 个 事件 类 型 的 具体 含义 。 
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表 9-2 事件 类 型 及 描述 


事件 类 型 描 述 

本 指明 出 现 了 问题 ， 这 可 能 会 影响 触发 事件 的 应 用 程序 或 组 件 外 部 的 功能 。 例 如 ， 如 果 在 启动 过 程 中 
某 个 服务 加 载 失 败 ， 将 会 记录 “错误 ”事件 

兰 和 指明 出 现 的 问题 可 能 会 影响 服务 器 或 导致 更 严重 的 问题 (如 果 未 采取 措施 )。 例 如 ， 当 磁盘 空间 不 足 
时 ， 将 会 记录 “警告 ”事件 

信息 指明 应 用 程序 或 组 件 发 生 了 更 改 ， 如 操作 成 功 完成 、 已 创建 了 资源 ， 或 已 启动 了 服务 

关键 指明 出 现 了 故障 ， 导 致 触发 事件 的 应 用 程序 或 组 件 可 能 无 法 自动 恢复 

Success Audit 指明 用 户 权限 练习 成 功 

审核 失败 指明 用 户 权 限 练习 失败 


局 提示 : Success Audit 和 “审核 失败 ”类 型 事件 属于 严重 安全 级 别 ， 可 能 出 现在 安全 日 志 中 。 


9.1.3 ”事件 查看 器 的 使 用 


Windows 事件 查看 器 的 主要 功能 就 是 为 管理 员 提供 简洁 、 快 速 的 时 间 浏 览 界面 。 网 络 管理 员 应 该 养 成 
良好 的 习惯 ,经 常 查看 日 志 ， 这 样 可 以 有 效 避 免 突 如 其 来 的 灾难 。Windows Server 2008 系统 中 新 增 了 “ 自 
定义 视图 ”和 “应 用 程序 和 服务 日 志 ” 功 能 ， 并 且 在 “Windows 日 志 ” 中 添加 了 “安装 程序 ”和 “转发 的 
事件 ”查看 功能 ， 可 极 大 地 提高 网 络 管理 员 的 工作 效率 。 

1. 概述 


Windows Server 2008 系统 的 事件 查看 器 ， 可 以 用 来 查看 系统 以 及 网 络 服务 产生 的 日 志 记录 信息 ， 比 
Windows Server 2003 事件 查看 器 的 功能 强大 了 许多 。 以 管理 员 账户 登录 系统 ， 依 次 单 击 “ 开 始 ” 一 “ 管 
理工 具 ” 一 “事件 查看 器 ”命令 ,打开 如 图 9-1 所 示 的 “事件 查看 器 ”窗口 。 


图 9-1 “事件 查看 器 ”窗口 
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四 二 


(D Windows 系统 日 志 
Windows Server 2008 系统 日 志 类 包括 如 下 4 种。 


应 用 程序 日 志 。 应 用 程序 日 志 包含 由 应 用 程序 或 系统 程序 记录 的 事件 。 例 如 ， 数 据 库 程序 可 在 应 
用 程序 日 志 中 记录 文件 错误 。 应 用 程序 开发 人 员 决定 记录 哪些 事件 。 

安全 日 志 。 安 全 日 志 记录 诸如 有 效 和 无 效 的 登录 尝试 等 事件 ， 以 及 记录 与 资源 使 用 相关 的 事件 ， 
如 创建 、 打 开 或 删除 文件 或 其 他 对 象 。 例 如 ， 如 果 已 启用 登录 审核 ， 登 录 系 统 的 尝试 将 记录 在 安 
全 日 志 中 。 

系统 日 志 。 系 统 日 志 包含 Windows 系统 组 件 记录 的 事件 。 例 如 ,在 启动 过 程 中 加 载 驱动 程序 或 其 
他 系统 组 件 失败 将 记录 在 系统 日 志 中 。 服 务 器 预先 确定 由 系统 组 件 记录 的 事件 类 型 。 

安装 程序 日 志 。 安 装 程序 日 志 ， 记 录 在 系统 安装 或 者 安装 微软 公司 的 产品 时 ， 产 生 的 系列 事件 。 
如 果 安 装 出 现 错误 ， 可 以 使 用 此 日 志 分 析出 现 的 问题 。 


运行 Windows Server 2008 操作 系统 且 配 置 为 域 控制 器 的 计算 机 以 另外 两 种 日 志 记录 事件 。 


目录 服务 日 志 。 目 录 服务 日 志 包 含 Active Directory 服务 记录 的 事件 。 例如， 在 目录 服务 日 志 中 记 
录 服 务 器 和 全 局 编 录 间 的 连接 问题 。 

文件 复制 服务 日 志 。 文 件 复制 服务 日 志 包 含 Windows 文件 复制 服务 记录 的 事件 。 例 如 ， 在 文件 
复制 日 志 中 ， 记 录 着 文件 复制 失败 和 域 控制 器 (利用 关于 系统 卷 更 改 的 信息 ] 更 新 时 发 生 的 事件 。 
运行 Windows 并 配置 为 域名 系统 (DNS) 服 务 器 的 计算 机 在 其 他 日 志 中 记录 事件 。 

DNS 服务 器 日 志 。DNS 服务 器 日 志 包含 DNS 服务 记录 的 日 志 。 


另外 ， 根 据 所 安装 服务 的 情况 ， 计 算 机 可 能 会 提供 其 他 类 型 的 事件 和 事件 日 志 。 
(2] 应 用 程序 和 服务 日 志 
应 用 程序 和 服务 日 志 是 一 种 新 类 别 的 事件 日 志 ， 主 要 是 来 自 单个 应 用 程序 或 组 件 的 事件 。 这 类 日 志 包 


括 4 种 。 


2 


管理 日 志 。 管 理 日 志 可 以 提供 有 关 如 何 对 事件 做 出 响应 的 指南 。 管 理事 件 主要 以 最 终 用 户 、 管 理 
员 和 技术 支持 人 员 为 目标 。 管 理 通道 中 的 事件 指示 问题 以 及 管理 员 可 以 操作 的 良好 定义 的 解决 
方案 。 

操作 日 志 。 操 作 日 志 主要 面向 IT 专业 人 士 。 操 作 事件 是 用 于 分 析 和 诊断 问题 或 发 生 的 事件 ， 这 些 
事件 可 以 用 于 基于 问题 或 发 生 的 事件 触发 工具 或 任务 。 

分 析 日 志 。 默 认 情况 下 ， 分 析 日 志和 调试 日 志 都 为 隐藏 和 禁用 状态 ， 用 户 使 用 之 前 必须 先 将 其 启 
用 。 分 析 事 件 是 大 量 发 布 的 事件 ， 这 些 事件 描述 程序 操作 并 指示 用 户 干预 所 无 法 处 理 的 问题 。 
调试 日 志 。 调 试 日 志 由 开发 人 员 在 调试 应 用 程序 时 使 用 。 


. 查看 事件 信息 


通过 Windows Server 2008 系统 的 事件 查看 器 ， 可 以 管理 服务 器 角色 日 志 、Windows 系统 日 志和 应 用 


程序 日 志 。 


事件 日 志 中 记录 了 事件 发 生 的 时 间 、 事 件 来 源 、 用 户 账户 、 操 作 代 码 及 了 解 详细 相关 信息 的 超 


级 链接 ， 管 理 员 通过 这 些 信息 可 以 快速 判断 服务 器 或 应 用 程序 是 否 存 在 故障 或 安全 隐患 。 在 Windows 
Server 2008 系统 中 , 事件 日 志 详细 信息 的 基础 结构 完全 符合 XML 架构 , 且 可 以 访问 代表 给 定 事件 的 XML。 
这 也 是 Windows Server 2008 区 别 于 Windows Server 2003 的 主要 方面 之 一 。 


Q@ 打开 “事件 查看 器 ”窗口 , 在 左 侧目 录 栏 中 展开 希望 查看 和 管理 的 事件 日 志 类 别 , 如 “Windows 日 
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志 ” 一 “安全 ”， 如 图 9-2 所 示 。 系 统 默认 已 经 启动 “预览 窗 格 ”功能 ， 即 在 事件 列表 中 选择 时 
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间 后 ， 将 自动 显示 相应 预览 信息 。 


图 9-2 “事件 查看 器 ”窗口 


@ 双击 其 中 的 任何 一 个 日 志 ， 便 可 查看 详细 信息 。 在 日 志 属 性 窗口 中 ， 可 以 看 到 事件 发 生 的 日 期 、 
事件 发 生 的 源 、 事 件 发 生 的 种 类 和 ID， 以 及 事件 的 详细 描述 ， 这 些 信息 有 助 于 帮助 系统 管理 员 解 
决 安全 问题 。 如 图 9-3 所 示 为 打开 一 个 审核 失败 的 安全 事件 。 


事件 慰 性 


图 9-3 “事件 属性 ”对 话 框 


图 单 击 “详细 信息 ”标签 切换 至 如 图 9-4 所 示 的 “详细 信息 ”选项 卡 ， 系 统 默认 是 以 “友好 视图 ” 
方式 显示 的 。 

图 选择 “XML 视图 ” 单 选 按钮 ， 即 可 以 XML 视图 方式 显示 事件 详细 信息 ， 如 图 9-5 所 示 。 

回 单 击 “关闭 ”按钮 ， 关闭“ 事件 属性 ”对 话 框 即 可 。 
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3. 将 任务 附加 到 事件 


Windows Server 2008 系统 的 事件 查看 器 新 增 了 通知 、 提 醒 功能 ， 通 过 将 计划 任务 附加 到 指定 类 型 的 
事件 ， 系 统 即 可 自动 以 某 种 方式 通知 用 户 ， 如 发 送 E-mail 邮件 、 弹 出 提示 信息 、 开 启程 序 等 。 可 以 选择 一 
类 系统 事件 作为 关联 对 象 ， 也 可 以 选择 单个 事件 进行 关联 。 将 任务 附加 到 一 类 事件 的 具体 操作 步骤 如 下 。 


IEEIEEIIEEOCEZ 村 | 


图 9-4 友好 视图 
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Provider Name="Microsoft-Windows-Security-Auditing" 
Guid-~"(54949625- 5478 4994-a5bo- 


图 9-5 XML 视图 


@ 在 “事件 查看 器 ”窗口 中 ， 右 击 “ 安 装 程序 ”( 此 处 以 “安装 程序 ”类 别 的 Windows 事件 为 例 )， 
并 选择 快捷 菜单 中 的 “将 任务 附加 到 事件 ”命令 ， 启 动 “ 创 建 基本 任务 向 导 ”， 显 示 如 图 9-6 所 
示 的 “创建 基本 任务 ”界面 。 使 用 系统 默认 名 称 ， 并 在 “描述 ”文本 框 中 ， 输 入 对 此 基本 任务 的 
简单 描述 ， 以 便 区 分 。 

单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 9-7 所 示 的 “登录 特定 事件 时 ”界面 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 9-8 所 示 的 “操作 ”界面 。 定 义 当 事 件 发 生 后 ， 希 望 发 生 的 操作 ， 
本 例 中 选择 “发 送 电子 邮件 ” 单 选 按钮 。 


四 四 
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图 9-6 “创建 基本 任务 ”界面 


图 9-7 “登录 特定 事件 时 ”界面 


图 9-8 “操作 ”界面 
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图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 9-9 所 示 的 “发 送 电子 邮件 ”界面 。 在 “发 件 人 ”和 “ 收 件 人 ” 
文本 框 中 ， 输 入 希望 使 用 的 E-mail 邮箱 地 址 。 在 “正文 ”文本 框 中， 可 以 输入 简短 的 描述 信息 ， 
告知 用 户 发 送 此 邮件 的 目的 。 


创建 基本 任务 向 导 


图 9-9 “发 送 电子 邮件 ”界面 


回 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 9-10 所 示 的 “摘要 ”界面 ， 提 示 当 前 已 作 的 所 有 设置 。 如 果 选 中 
“ 当 单 击 “ 完 成 ”时 ， 打 开 此 任务 属性 的 对 话 框 ” 复 选 框 ， 则 关闭 “创建 基本 任务 向 导 ” 后 ， 可 
以 立即 查看 和 编辑 其 属性 设置 。 

单 击 “ 完 成 ”按钮 ， 打 开 如 图 9-11 所 示 的 “事件 查看 器 ”提示 框 ， 提 示 计 划 任务 已 创建 完成 ， 可 

以 在 “任务 计划 程序 ”中 查看 和 编辑 计划 的 任务 。 


导 


| [i 拥 匡 和 


图 9-10 “摘要 ”界面 图 9-11 “事件 查看 器 ”提示 框 
@ 单 击 “确定 ”按钮 ， 关 闭 对 话 框 即 可 。 
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提示 : 在 Windows Server 2008 系统 中 ， 可 以 通过 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “任务 计划 程序 ” 
命令 ， 打 开 “ 任 务 计划 程序 ”管理 器 窗口 ， 在 此 管理 员 可 以 对 系统 中 所 有 的 计划 任务 进行 配置 和 管理 。 
在 “事件 查看 器 任务 ”中 创建 的 任务 关联 也 会 显示 在 这 里 ， 如 图 9-12 所 示 。 


图 9-12 “任务 计划 程序 ”窗口 


通过 “创建 基本 任务 向 导 ” 创 建 的 任务 关联 计划 ， 默 认 只 能 设置 单一 的 “触发 器 ”( 即 执行 任务 的 条 件 ) 
和 “操作 ”。 例如 ， 在 “任务 计划 程序 ”窗口 中 ， 双 击 已 创建 的 关联 任务 计划 (以 Setup 为 例 )， 打 开 “Setup 
属性 (本 地 计算 机 )” 对 话 框 ， 在 “操作 ”选项 卡 中 ， 单 击 “ 新 建 ” 按钮 ， 打 开 “ 新 建 操作 ”对 话 框 ， 在 “ 操 
作 ” 下 拉 列 表 杠 中， 继续 选择 希望 执行 的 操作 类 型 即 可 ， 如 图 9-13 所 示 。 


图 9-13 “新 建 操作 ”对 话 框 
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4. 导出 和 导入 日 志 


如 果 Windows 服务 器 的 访问 量 非 常 大 ， 则 每 天 产生 的 日 志文 件 大 小 也 是 非常 尺 人 的 。 尽 管 安装 
Windows 系统 和 网 络 服务 时 ， 已 经 选择 了 安全 可 靠 的 日 志保 存 目 录 ， 但 为 了 确保 日 志文 件 的 完整 、 安 全 ， 
应 适时 将 其 备份 至 安全 性 较 高 的 存储 介质 ， 如 光盘 或 其 他 文件 服务 器 等 ， 以 免 由 于 系统 故障 或 日 志文 件 自 
动 缆 盖 ， 而 丢失 重要 信息 。Windows Server 2008 系统 中 ， 导 出 日 志文 件 的 操作 步骤 如 下 (以 Windows 安 
全 事件 日 志 为 例 ] 。 

@ 在 “事件 查看 器 ”窗口 中 展开 “Windows 日 志 ”， 在 导航 栏 中 右 击 希望 导出 的 时 间 类 型 ， 此 处 以 

“安全 ”事件 为 例 ， 如 图 9-14 所 示 。 


2 Ws) 
社 于 当前 日 志 07 
mr 


辐 硬 中 ， 吾 HLm 
的 
Wh 


图 9-14 选择 希望 导出 的 事件 类 型 


@ ”选择 快捷 菜单 中 的 “将 事件 另存 为 ”命令 , 打开 如 图 9-15 所 示 的 “另存 为 ” 对话 框 。 如 果 导 出 “ 自 
定义 视图 ” 中 的 服务 器 角色 日 志文 件 ， 则 需要 选择 快捷 菜单 中 的 “将 自 定义 视图 中 的 事件 另存 为 ” 
命令 。 在 “文件 名 ”文本 框 中 输入 日 志文 件 的 名 称 ; 在 “保存 类 型 ”下 拉 列 表 中 ， 选 择 导出 日 志 
文件 的 格式 ， 系 统 默 认为 *.evtx， 此 外 还 支持 *xml、*.txt 和 *.csv 格式 。 其 中 只 有 *.evtx 日 志文 件 ， 
才 可 以 在 “事件 查看 器 ”中 重新 打开 。 如 果 把 日 志 存 档 为 文本 (*.txt] 或 逗号 分 隔 的 格式 (*.csv)， 则 
可 以 在 文字 处 理 或 电子 表格 之 类 的 其 他 程序 (而 不 是 “事件 查看 器 ”) 中 重新 打开 日 志 ， 建 议 使 用 
系统 默认 文件 格式 。 


提示 : *.evtx 是 Windows Vista 和 Windows Server 2008 系统 的 新 文件 格式 , 与 早期 Windows 系统 中 的 *.evt 
”文件 相同 。 需要 注意 的 是 , *.evtx 文件 只 能 在 Windows Vista 和 Windows Server 2008 系统 的 “事件 查看 器 ” 
中 打开 。Windows Server 2008 事件 查看 器 可 以 兼容 Windows Server 2003 系统 中 导出 的 日 志文 件 。 


图 单 击 “ 保 存 ” 按 钮 ， 打 开 如 图 9-16 所 示 的 “显示 信息 ”对 话 框 ， 系 统 默认 选择 “没有 显示 信息 ” 
单 选 按钮 ， 此 时 导出 日 志 只 能 在 本 地 计算 机 或 与 本 地 计算 机 语言 类 型 相同 的 其 他 计算 机 上 打开 。 
如 果 希 望 此 日 志 可 以 在 其 他 系统 中 查看 ， 则 需要 选择 “显示 这 些 语言 的 信息 ” 单 选 按钮 ， 并 在 列 
表 框 中 选择 与 指定 计算 机 系统 匹配 的 语言 类 型 。 选 中 “显示 所 有 可 用 的 语言 ” 复 选 框 ， 即 可 显示 
当前 系统 支持 的 所 有 语言 类 型 。 
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图 9-15 “另存 为 ”对 话 框 图 9-16 “显示 信息 ”对 话 框 


图 单 击 “ 确 定 ”按钮 ， 保 存 日 志 。 

回 ”在 其 他 计算 机 的 “事件 查看 器 ”窗口 中 ， 右 击 导航 栏 中 的 任意 项 目 ， 并 选择 快捷 菜单 中 的 “打开 保存 
的 日 志 ” 命 令 ， 打 开 如 图 9-17 所 示 的 “打开 保存 的 文件 ”对 话 框 ， 选 择 希望 导入 的 目标 文件 即 可 。 

单 击 “ 打 开 ” 按 钮 ， 打 开 如 图 9-18 所 示 的 “打开 保存 的 文件 ”对 话 框 。 默 认 将 在 “事件 查看 器 ” 
导航 栏 中 创建 “保存 的 日 志 ” 项 目 ， 用 于 保存 所 有 导入 事件 文件 。 选 中 “所 有 用 户 ” 复 选 杠 ， 则 
本 地 计算 机 上 的 所 有 用 户 均 可 通过 事件 查看 器 查看 当前 文件 ， 取 消 选 中 则 只 有 本 地 管理 员 账 户 可 
以 查看 该 文件 。 


图 9-17 “打开 保存 的 文件 ”对 话 框 图 9-18 “打开 保存 的 文件 ”对 话 框 
@ 单 击 “ 确 定 ” 按 钮 ， 即 可 将 其 添加 到 “事件 查看 器 ”窗口 中 ， 如 图 9-19 所 示 。 
5. 订阅 事件 


Windows Server 2008 系统 的 事件 查看 器 可 以 订阅 来 自 其 他 Windows 系统 (Windows Vista 或 Windows 
Server 2008) 的 事件 日 志 ， 通 过 它 管理 员 可 以 轻松 做 到 集中 分 析 和 监控 计算 机 的 状态 。 订 阅 功能 依赖 于 
Windows 远程 管理 (WinRM) 服 务 和 Windows 事件 收集 器 (Wecsvg 服 务 ， 这 两 项 服务 必须 在 参与 转发 和 收 
集 过 程 的 计算 机 上 运行 ， 目 前 只 有 运行 Windows Server 2008 和 Windows Vista 操作 系统 的 计算 机 支持 此 
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图 9-19 导入 的 事件 日 志 
(D 配置 源 计算 机 


所 谓 源 


在 源 计 算 机 上 开启 远程 
的 是 ， 源 计算 机 和 事件 收集 服务 器 


理 该 计算 机 。 需 要 注 
主要 操作 步骤 如 下 。 
@ 以 管理 员 登 录 系 统 ， 在 命令 提示 符 窗 口中 ， 输 入 如 下 命令 : 
winrm quickconfig 
按 Enter 键 执行 ， 显 示 如 图 9-20 所 示 的 结果 ， 提 示 目 前 该 计算 机 没有 设置 成 为 允许 远程 访问 。 执 行 更 
改 后 ， 即 可 接受 远程 访问 ， 是 否 继续 
回 输入 “Y” 并 按 Enter 键 执行 ， 表 示 确 认 更 改 ， 显 示 如 图 9-21 所 示 的 结果 。 


MWAndownsytem Nemd ow 
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图 9-20 是否 允许 远程 访问 图 9-21 启动 WinRM 服务 


@ 将 事件 收集 服务 器 的 计算 机 账户 添加 到 本 地 计算 机 的 Administrators 组 中 。 依 次 单 击 “ 开 始 ”一 
制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”命令 ， 打 开 “ 计 算 机 管理 ”窗口 ， 展 开 “ 系 统 工 
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具 ” 一 “本 地 用 户 和 组 ”一 “组 ”项 目 , 双击 Administrators 打开 如 图 9-22 所 示 的 “Administrators 
属性 ”对 话 框 。 

图 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 。 默 认 情况 下 ， 只 能 向 该 组 中 添加 用 
户 或 组 对 象 。 单 击 “ 对 象 类 型 ”按钮 ， 打 开 “ 对 象 类 型 ”对 话 框 ， 选 中 “对 象 类 型 ”列表 框 中 的 
“计算 机 ”， 如 图 9-23 所 示 。 
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图 9-22 “Administrators 属性 ”对 话 框 图 9-23 “对 象 类 型 ”对 话 框 


回 单 击 “ 确 定 ” 按 钮 ， 返 回 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 ， 在 “输入 对 象 名 称 来 选择 ”文本 框 
中 ， 输 入 事件 收集 服务 器 的 主机 名 ， 如 图 9-24 所 示 。 也 可 以 单 击 “ 高 级 ”按钮 ， 从 指定 位 置 的 所 
有 对 象 中 搜索 希望 添加 的 服务 器 。 

单 击 “确定 ”按钮 ， 将 其 添加 至 Administrators 组 成 员 列表 中 ， 如 图 9-25 所 示 。 
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图 9-24 “选择 用 户 、 计 算 机 或 组 ”对 话 框 图 9-25 成 功 添加 到 成 员 列表 中 


.| 提示 : 重复 上 述 操作 ， 可 以 配置 多 台 源 计算 机 。 


(2] 配置 收集 服务 器 

如 果 指 定 了 较 多 的 源 计算 机 ， 则 运行 过 程 中 可 能 产生 大 量 的 日 志文 件 ， 如 果 源 计算 机 是 应 用 程序 服务 
器 ， 则 数据 量 更 大 。 为 确保 事件 日 志 的 安全 ， 建 议 采用 单独 的 服务 器 作为 收集 服务 器 。 

@ 打开 “管理 员 ; 命令 提示 符 ” 窗 口 ， 输 入 如 下 命令 : 
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@ Windows Server 2008 


wecutil qc 
按 Enter 键 执行 ， 显 示 如 图 9-26 所 示 的 结果 ， 提 示 是 否 更 改 服务 启动 模式 。 


Ls | 提示 : ”wecutil qe 命令 主要 用 于 快速 配置 事件 收集 服务 器 ， 其 中 qc 是 quick-config 的 缩写 。 确 认 执 行 该 
命令 后 ， 主 要 完成 如 下 操作 .。 

如 果 已 禁用 ForwardedEvents( 转 发 的 事件 ) 通 道 ， 则 启用 该 通道 。 

将 Windows 事件 收集 器 服务 设置 为 延迟 启动 ( 仅 适 用 于 Windows Vista 和 更 新 的 Windows 系统 )。 

如 果 Windows 事件 收集 器 服务 未 运行 ， 则 启动 该 服务 。 


@ 输入 “Y” 并 按 Enter 键 ， 确 认 执行 更 改 ， 显 示 如 图 9-27 所 示 的 结果 ， 事 件 收集 服务 器 配置 成 功 。 


图 9-26 是否 更 改 服务 器 启动 模式 图 9-27 成 功 配置 事件 收集 服务 器 


提示 : 如 果 要 指定 “最 小 化 带宽 ”或 “最 小 化 滞后 时 间 ” 的 事件 传递 优化 ， 则 还 必须 在 收集 器 计算 机 上 
运行 winrm quickconfig 命令 。 


(3】 创建 订阅 

若 要 在 事件 收集 服务 器 上 接收 来 自 其 他 计算 机 的 事件 日 志 ， 必 须 创建 一 个 或 者 多 个 事件 订阅 ， 在 源 计 
算 机 和 事件 收集 服务 器 上 做 好 上 述 准备 工作 之 后 ， 即 可 开始 配置 事件 订阅 。 主 要 操作 步骤 如 下 。 

@ 在 事件 收集 服务 器 上 打开 “事件 查看 器 ”窗口 ， 并 在 导航 栏 中 选择 “订阅 ”， 如 图 9-28 所 示 。 


| 提示 : 默认 情况 下 ，Windows Vista 和 Windows Server 2008 系统 均 为 启动 事件 收集 所 需 的 系统 服务 。 未 做 
好 事件 收集 服务 器 的 准备 工作 之 前 ， 选择“ 订阅 ”项 目 时 ， 会 弹出 如 图 9-29 所 示 “ 事 件 查看 器 ”对 话 框 。 


@ 在 “操作 ” 栏 中 单 击 “创建 订阅 ”链接 ， 打 开 如 图 9-30 所 示 的 “订阅 属性 ”对 话 框 。 在 “订阅 名 
称 ” 文 本 框 中 ， 输 入 该 订阅 的 名 称 ; 在 “说 明 ” 文 本 框 中 可 输入 相关 的 说 明 性 文字 ， 以 便 区 分 ; 
“目标 日 志 ” 用 于 保存 所 收集 事件 的 目录 ， 默 认 目 录 为 “Windows 日 志 ” 中 的 “转发 的 事件 ”。 

@ 在 “订阅 类 型 和 源 计算 机 ”选项 组 中 ， 选 择 “ 收 集 器 已 启动 ” 单 选 按 钮 ， 并 单 击 “ 选 择 计算 机 ” 
按钮 ， 打开 “计算 机 ”对 话 框 ， 单 击 “ 添 加 域 计算 机 ”按钮 ,打开 如 图 9-31 所 示 的 “选择 计算 机 ” 
对 话 框 。 在 “输入 要 选择 的 对 象 名 称 ” 文 本 框 中 ， 输 入 域 中 源 计算 机 的 主机 名 。 可 以 同时 输入 多 
个 ， 彼 此 之 间 以 分 号 “; ” 隔 开 ; 也 可 以 单 击 “高 级 ”按钮 ， 在 所 有 目录 对 象 中 查找 。 
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图 9-28 “事件 查看 器 ”窗口 图 9-29 “事件 查看 器 ”对 话 框 


图 9-30 “订阅 属性 ”对 话 框 图 9-31 “选择 计算 机 ”对 话 框 


单 击 “ 确 定 ” 按 钮 ， 将 所 选 计算 机 添加 到 “计算 机 ”列表 中 ， 如 图 9-32 所 示 。 

为 确保 事件 收集 服务 器 和 所 选 源 计算 机 之 间 的 连接 正常 ， 可 以 在 “计算 机 ”列表 中 ， 选 中 源 计算 机 

名 称 并 单 击 “ 测 试 ”按钮 ， 如 果 显 示 如 图 9-33 所 示 的 “连接 测试 成 功 ” 的 结果 ， 则 表示 连接 正常 。 

连续 单 击 “确定 ”按钮 返回 至 “订阅 属性 ”对 话 框 ， 单 击 “ 选 择 事件 ”按钮 ， 打 开 如 图 9-34 所 示 
的 “查询 筛选 器 ”对 话 框 。 在 “记录 时 间 ” 下 拉 列 表 框 中 选择 希望 收集 的 事件 产生 的 时 间 和 日 期 ; 
在 “事件 级 别 ” 选 项 区 域 选择 被 收集 事件 的 级 别 ， 选 择 “ 按 日 志 ” 单 选 按钮 ， 并 在 “事件 日 志 ” 
下 拉 列 表 中 ， 选 择 事件 类 型 。 需 要 注意 的 是 ， 如 果 选 择 的 事件 类 型 过 多 ， 可 能 需要 收集 大 量 的 事 
件 ， 占 用 大 量 空间 。 

@ 单 击 “ 确 定 ”按钮 ， 返 回 “ 订 阅 属性 ”对 话 框 ， 单 击 “ 高 级 ”按钮 ， 打 开 如 图 9-35 所 示 的 “高 级 

订阅 设置 ”对 话 框 。 由 于 已 经 将 事件 收集 服务 器 的 计算 机 账户 添加 到 了 源 计算 机 的 Administrators 

组 中 ， 所 以 选择 “计算 机 账户 ” 单 选 按钮 即 可 。 
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图 9-32 “计算 机 ”对 话 框 图 9-33 “连接 测试 成 功 ”对 话 框 
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对 “ 


图 9-34 “查询 筛选 器 ”对 话 框 图 9-35 “高 级 订阅 设置 ”对 话 框 


高 级 订阅 设置 ”对 话 框 中 一 些 选项 说 明 如 下 。 

特定 用 户 。 若 要 指定 用 于 管理 收集 事件 的 过 程 的 账户 ， 则 可 以 选择 “特定 用 户 ” 单 选 按钮 ， 然 后 
单 击 “ 用 户 和 密码 ”按钮 ， 打 开 如 图 9-36 所 示 的 “订阅 源 的 凭据 ”对 话 框 ， 输 入 账户 的 用 户 名 和 
密码 即 可 。 

事件 传递 优化 。 在 这 里 用 户 可 以 根据 网 络 连接 状况 设置 适当 的 优化 措施 。 例 如 ， 如 果 不 希 望 占用 
过 多 网 络 带 宽 ， 选 择 “ 最 小 化 带宽 ” 单 选 按钮 即 可 。 系 统 默 认为 “正常 ”状态 ， 即 不 进行 任何 
优化 。 

协议 。 系 统 默认 使 用 HTTP 协议 传 出 事件 ， 用 户 也 可 以 在 “协议 ”下 拉 列 表 框 中 选择 HTTP 协议 ， 
但 是 还 必须 在 Windows 防火 墙 的 “例外 ”程序 中 添加 “443 端口 ”。 如 果 使 用 “正常 ”(PULL 模 
式 ] 传 递 优化 的 订阅 ， 则 只 需 在 源 计 算 机 的 防火 墙 上 设置 例外 ;如 果 使 用 “最 小 化 带宽 ”或 “最 小 
化 滞后 时 间 ”(PUSH 模式 ] 传 递 优化 的 订阅 ， 则 必须 在 源 计算 机 和 收集 器 计算 机 上 同时 设置 例外 。 
单 击 “ 确 定 ” 按 钮 ， 关 闭 “订阅 属性 ”对 话 框 ， 返 回 “ 事 件 查看 器 ”窗口 ， 如 图 9-37 所 示 ， 新 创 
建 的 事件 订阅 已 经 显示 在 窗口 中 。 
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轿 ”通过 事件 查看 器 订阅 的 远程 计算 机 日 志 ， 默 认 将 显示 在 “Windows 日 志 ” 的 “转发 的 事件 ”项 目 
中 ,如 图 9-38 所 示 。 需 要 注意 的 是 ， 由 于 网 络 传输 等 多 方面 问题 ， 远 程 计算 机 上 产生 的 相关 事件 
并 不 能 立即 转发 到 事件 收集 服务 器 上 ， 通 常会 有 一 定时 间 的 延迟 。 


图 9-36 “订阅 源 的 凭据 ”对 话 框 图 9-37 成 功 创建 的 订阅 


图 9-38 转发 的 事件 


6. 分 析 日 志和 调试 日 志 


分 析 日 志和 调试 日 志 主要 面向 IT 专业 用 户 提供 ， 用 于 分 析 事 件 产生 的 原因 、 过 程 等 因素 ， 对 普通 用 户 
的 正常 应 用 没有 太 大 影响 。 因 此 ， 默 认 情况 下 分 析 日 志和 调试 日 志 为 禁用 和 隐藏 状态 。 用 户 可 以 打开 “ 事 
件 查看 器 ”窗口 ， 然 后 选择 “查看 ”菜单 中 的 “显示 分 析 和 调试 日 志 ” 命 令 ， 即 可 在 “应 用 程序 和 服务 日 
志 ” 列 表 框 中 看 到 相关 的 事件 日 志 ， 如 图 9-39 所 示 。 
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图 9-39 显示 分 析 和 调试 日 志 


9.2 安全 性 日 志 


Windows Server 2008 系统 的 事件 审核 功能 ， 可 以 帮助 管理 员 快速 检测 黑客 的 渗透 和 攻击 ， 从 而 防止 
非法 用 户 的 入 侵 。Windows 账户 和 密码 是 登录 系统 的 重要 凭证 ， 通 过 启用 对 账户 的 审核 登录 功能 ， 即 可 及 
时 发 现 一 些 异常 的 行为 和 操作 。 据 资料 介绍 ， 有 50% 以 上 的 入 侵 事 件 可 以 通过 对 账户 事件 的 审核 ， 发 现 入 
侵 者 的 踪迹 。 


9.2.1 启用 审核 策略 


Windows 系统 可 以 提供 9 类 事件 审核 策略 ， 对 于 每 一 类 都 可 以 指明 是 审核 成 功 事件 、 失 败 事件 ， 还 是 
两 者 都 审核 。Windows Server 2008 系统 启动 了 大 部 分 本 地 审核 策略 ， 安 全 性 更 高 ， 管 理 员 可 以 依次 单 击 
“开始 ”一 “管理 工具 ”一 “本 地 安全 策略 ”一 “本 地 策略 ”一 “审核 策略 ”命令 ， 打 开 Windows 审核 策 
略 窗口 ,在 这 里 即 可 根据 需要 启用 或 关闭 安全 审核 策略 ,如 图 9-40 所 示 。 升 级 为 域 控制 器 的 Windows Server 
2008 服务 器 ， 则 需要 在 “组 策略 管理 ”控制 台中 完成 。 

Windows Server 2008 系统 支持 的 事件 审核 策略 包括 如 下 方面 。 

时。 审核 策略 更 改 : 确定 是 否 对 用 户 权限 分 配 策略 、 审 核 策 略 或 信任 策略 做 出 更 改 的 每 一 个 事件 进行 

审核 。 系 统 默认 设置 为 “成 功 ”， 建 议 设置 为 “成 功 ” 和 “失败 ”。 

”审核 登录 事件 :确定 是 否 审核 用 户 登录 到 该 计算 机 、 从 该 计算 机 注销 或 建立 与 该 计算 机 的 网 络 连 

接 的 每 一 个 实例 。 如 果 设 定 为 审核 “成 功 ”， 则 可 用 来 确定 哪个 用 户 成 功 登 录 到 哪 台 计算 机 ， 如 
果 设 为 审核 “失败 ”， 则 可 以 用 来 检测 入 侵 ， 但 攻击 者 生成 的 庞大 的 登录 失败 日 志 ， 会 造成 拒绝 
服务 DoS) 状态 。 建 议 保持 系统 设置 的 “成 功 ”状态 。 

时。 审核 对 象 访问 : 确定 是 否 审核 用 户 访问 某 个 对 象 ， 例 如 ， 文 件 、 文 件 夹 、 注 册 表 项 、 打 印 机 等 ， 

它们 都 指定 了 自己 的 系统 访问 控制 列表 (SACL) 的 事件 。 建 议 设置 为 “失败 ”。 

”审核 进程 跟踪 :确定 是 否 审核 事件 的 详细 跟踪 信息 ， 例 如 ， 程 序 激活 、 进 程 退出 、 间 接 对 象 访问 
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等 。 如 果 怀 疑 系统 被 攻击 ， 可 启用 该 项 ， 系 统 默认 设置 为 “成 功 ”。 
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图 9-40 ”Windows 审核 策略 


”审核 目录 服务 访问 ， 确定 是 否 审核 用 户 访问 那些 指定 有 自己 的 系统 访问 控制 列表 (SACU) 的 Active 
Directory 对 象 的 事件 。 启 用 后 会 在 域 控制 器 的 安全 日 志 中 生成 大 量 审核 项 ， 因 此 只 有 在 确实 要 使 
用 所 创建 的 信息 时 才 应 启用 。 系 统 默认 设置 为 “成 功 ”。 

时 审核 特权 使 用 : 确定 是 否 对 用 户 行使 用 户 权 限 的 每 个 实例 进行 审核 ， 但 除 跳 过 遍历 检查 、 调 试 程 
序 、 创 建 标记 对 象 、 替 换 进 程 级 别 标记 、 生 成 安全 审核 、 备 份 文件 和 目录 、 还 原文 件 和 目录 等 权 
限 。 系 统 默认 为 “无 审核 ”。 

于 ”审核 系统 事件 : 用 于 确定 当 用 户 重新 启动 或 关闭 计算 机 时 ， 或 者 对 系统 安全 或 安全 日 志 有 影响 的 

事件 发 生 时 ， 是 否 予 以 审核 。 这 些 事件 信息 是 非常 重要 的 ， 所 以 建议 设置 为 “成 功 ” 和 “失败 ”。 

时 ”审核 账户 登录 事件 : 用 于 确定 当 用 户 登录 到 其 他 计算 机 (该 计算 机 用 于 验证 其 他 计算 机 中 的 账户 ) 

或 从 中 注销 时 ， 是 否 进行 审核 。 建 议 设置 为 “成 功 ” 和 “失败 ”。 

”审核 账户 管理 : 用 于 确定 是 否 对 计算 机 上 的 每 个 账户 管理 事件 ， 如 重 命 名 、 禁 用 或 启用 用 户 账户 ， 

创建 、 修 改 或 删除 用 户 账户 或 管理 事件 进行 审核 。 建 议 设置 为 “成 功 ” 和 “失败 ”。 

Windows Server 2008 本 地 系统 审核 策略 的 配制 方法 ， 可 参考 本 书 第 7 章 中 的 相关 介绍 。 审 核 项 目 应 
配置 得 当 ， 如 果 审 核 项 目 过 多 ， 不 仅 会 影响 服务 器 的 响应 速度 ， 而 且 还 会 产生 大 量 的 日 志文 件 ， 加 重 管理 
员 的 工作 负担 。 如 果 审 核 项 目 不 足 ， 则 无 法 准确 记录 恶意 入 侵 和 攻击 情况 ， 降 低 系统 安全 性 。 管 理 员 可 以 
在 “事件 查看 器 ”中 “Windows 日 志 ” 下 的 “安全 ”目录 中 查看 产生 的 安全 性 日 志 。 


9.2.2 审核 事件 ID 
事件 ID 是 Windows 事件 的 基本 属性 之 一 , 在 Windows 事件 查看 器 中 , 管理 员 可 以 根据 系统 为 不 同类 


型 事件 定义 的 ID 值 ， 判 断 事件 的 类 型 和 主要 内 容 ， 筛 选 指定 类 型 或 ID 的 事件 等 。 通过 事件 ID 可 以 清楚 地 
了 解 对 服务 器 资源 的 非法 访问 和 黑客 的 非法 渗透 。 
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1. 账户 登录 事件 
表 9-3 中 列 出 了 由 “审核 账户 登录 事件 ”安全 策略 设置 所 生成 的 安全 事件 。 


表 9-3 审核 账户 登录 事件 


类 别 事件 ID 内 容 
4774 使 用 被 映射 账户 进行 登录 
i 进行 全 

兹 拓 昌 证 贡 出 477 无 法 使 用 映射 账户 进行 登录 
4776 域 控制 器 尝试 验证 凭据 的 账户 
4777 域 控制 器 无 法 验证 凭据 的 账户 
4768 请 求 Kerberos 身份 验证 票证 (TGT) 

Kerberos 身份 验证 服 i 

务 类 别 4771 Kerberos 预 身份 验证 失败 
4772 Kerberos 身份 验证 票证 请 求 失败 

Kerberos 服务 票证 操 | 4769 Kerberos 服务 票证 请 求 

作 类 别 4770 Kerberos 服务 票证 已 续 订 

2. 账户 管理 事件 


表 9-4 中 列 出 了 由 “审核 账户 管理 ”安全 策略 设置 所 生成 的 安全 事件 。 


类 别 


应 用 程序 组 管理 


计算 机 账户 管理 


通信 组 管理 
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表 9-4 审核 账户 管理 事件 


事件 ID 内 容 
4783 基本 应 用 程序 组 已 创建 
4784 基本 应 用 程序 组 已 更 改 
4785 成 员 已 添加 到 基本 应 用 程序 组 
4786 成 员 已 从 基本 应 用 程序 组 删除 
4787 非 成 员 已 添加 到 基本 应 用 程序 组 
4788， 成 员 被 从 基本 应 用 程序 组 中 删除 
4789 基本 应 用 程序 组 已 删除 
4790 已 创建 LDAP 查询 组 
4742 计算 机 账户 已 更 改 
4743 计算 机 账户 被 删除 
4744 禁用 安全 的 本 地 组 已 创建 
4745 禁用 安全 的 本 地 组 已 更 改 
4746 成 员 已 被 添加 至 禁用 安全 的 本 地 组 
4747 成 员 已 从 禁用 安全 的 本 地 组 删除 
4748 禁用 安全 的 本 地 组 被 删除 
4749 禁用 安全 的 全 局 组 已 创建 
4750 禁用 安全 的 全 局 组 已 更 改 
4751 成 员 已 添加 至 禁用 安全 的 全 局 组 
4752 已 从 禁用 安全 的 全 局 组 删除 成 员 


类 别 


事件 ID 


续 表 


通信 组 管理 


4753 


用 安全 的 全 局 组 已 删除 


4759 


4760 


禁用 安 
禁用 安全 的 通用 组 已 创建 
禁用 安全 的 通用 组 已 更 改 


4761 


成 员 已 添加 至 禁用 安全 的 通用 组 


4762 


已 从 禁用 安全 的 通用 组 删除 成 员 


其 他 账户 管理 事件 


4739 


更 改 域 策略 


4782 


账户 密码 哈 希 被 访问 


4793 


密码 策略 检查 API 调用 程序 


安全 组 管理 


用 户 账户 管理 


4727 


安全 启用 全 局 组 已 创建 


4728 


成 员 已 添加 至 启用 安全 的 全 局 组 


4729 


已 从 安全 启用 全 局 组 删除 成 员 


4730 


安全 启用 全 局 组 已 删除 


4731 
4732 
4733. 
4734 
4735 
4737 
4754 
4755 
4756 
4757 
4758. 
4764 
4720 
4722 
4723. 
4724 


安全 启用 本 地 组 已 创建 

成 员 已 添加 至 启用 安全 的 本 地 组 
成 员 已 从 启用 安全 的 本 地 组 删除 
安全 启用 本 地 组 被 删除 

安全 启用 本 地 组 已 更 改 

安全 启用 全 局 组 已 更 改 

安全 启用 通用 组 已 创建 

安全 启用 通用 组 已 更 改 

成 员 已 添加 至 启用 安全 的 通用 组 
成 员 已 从 启用 安全 的 通用 组 删除 
安全 启用 通用 组 已 删除 

组 类 型 已 更 改 

创建 用 户 账户 

用 户 账 户 被 启用 
试图 更 改 账户 的 密码 
试图 重 置 账户 的 密码 


4725 


用 户 账户 被 禁用 


4726 


用 户 账户 被 删除 


4738 


用 户 账户 已 更 改 


4740 


用 户 账户 被 锁定 


4765 


SID 历史 添加 到 账户 


4766 


账户 添加 SID 历史 的 尝试 失败 


4767 


已 锁定 用 户 账户 


4780 


从 管理 员 组 的 成 员 账 户 上 设置 ACL 


4781 


账户 的 名 称 已 更 改 
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续 表 


类 别 事件 ID 
| 4794 
用 户 账户 管理 | 5376 


被 试图 设置 目录 服务 还 原 模式 
凭据 管理 器 凭据 被 备份 
凭据 管理 器 凭据 已 从 备份 还 原 


3. 详细 跟踪 事件 
表 9-5 中 列 出 了 由 “审核 进程 跟踪 ”安全 策略 设置 所 生成 的 安全 事件 。 
表 


9-5 ”审核 进程 跟踪 事件 


类 别 事件 ID 内 容 

4692 尝试 数据 保护 主 密 钥 备份 
4693 尝试 对 数据 保护 主 密 钥 进 行 恢复 

DPAPI 活动 
4694 尝试 保护 的 审计 保护 数据 
4695 尝试 未 保护 的 审计 保护 数据 

已 创建 一 个 新 进程 

进程 创建 8 ee 
4696 主 令 牌 被 分 配给 处 理 

进程 中 止 4689 进程 已 退出 

RPC 事件 5712 试图 远程 过 程 调 用 (RPC) 


4. 目录 服务 访问 事件 
表 9-6 中 列 出 了 由 “审核 目录 服务 访问 ”安全 策略 设置 所 生成 的 安全 事件 。 


表 9-6 审核 目录 服务 访问 事件 


类 别 事件 ID 内 容 
4928 建立 Active Directory 副本 源 命名 上 下 文 
4929 删除 Active Directory 副本 源 命名 上 下 文 
4930 修改 Active Directory 副本 源 命名 上 下 文 
4931 修改 Active Directory 副本 目标 命名 上 下 文 
党 轩 丑 夺 要 友 是 网 4934 复制 Active Directory 对 象 的 属性 
4935 开始 复制 失败 
4936 结束 复制 失败 
4937 从 副本 延迟 对 象 删除 
目录 服务 访问 4662 对 目录 对 象 进行 操作 
5136 修改 目录 服务 对 象 
5137 已 创建 目录 服务 对 象 
目录 服务 更 改 5138 目录 服务 对 象 未 删除 
5139 移动 目录 服务 对 象 
5141 删除 目录 服务 对 象 


[3441 


续 表 


类 别 事件 ID 
| 4932 


内 容 
Active Directory 命名 上 下 文 的 副本 同步 已 开始 
上 下 文 的 副本 同步 已 结束 


目录 服务 复制 


Active Directory 命名 | 


5. 登录 /注销 事件 ID 
表 9-7 中 列 出 了 “审核 登录 /注销 事件 ”安全 策略 设置 所 生成 的 安全 事件 。 


表 9-7 审核 登录 /注销 事件 


类 别 事件 ID 内 容 
账户 锁定 4625 账户 无 法 登录 
二 沽 在 扩展 模式 协商 ，IPSec 收 到 一 个 无 效 协商 数据 包 。 如 果 问 题 仍然 存在 ， 则 
可 能 说 明 网 络 问题 或 者 试图 修改 或 重播 该 协商 
4979 已 建立 IPsec 主 模式 和 扩展 模式 安全 关联 
4980 已 建立 IPSec 主 模式 和 扩展 模式 安全 关联 
IPSec 扩展 模式 
4981 已 建立 IPSec 主 模式 和 扩展 模式 安全 关联 
4982 已 建立 IPSec 主 模式 和 扩展 模式 安全 关联 
4983 IPSec 扩展 模式 协商 失败 ， 相 应 的 主 模式 安全 关联 已 被 删除 
4984 IPSec 扩展 模式 协商 失败 ， 相 应 的 主 模式 安全 关联 已 被 删除 
4646 IKE 预防 Dos 攻击 模式 启动 
4650 已 建立 IPSec 主 模式 安全 关联 ， 没 有 启用 扩展 模式 ， 不 使 用 证 书 验证 
4651 已 建立 IPSec 主 模式 安全 关联 ， 没 有 启用 扩展 模式 ， 证 书 用 于 身份 验证 
4652 IPSec 主 模式 协商 失败 
IPSec 主 模式 4653 IPSec 主 模式 协商 失败 
4655 IPSec 主 模式 安全 关联 结束 
4976 在 主 模式 协商 过 程 中 ，IPSec 收 到 一 个 无 效 协商 数据 包 
5049 删除 了 IPSec 安全 关联 
5453 由 于 未 启动 IKE 和 IPSec Keying 模块 服务 ，IPSec 协商 与 远程 计算 机 失败 
4654 IPSec 快速 模式 协商 失败 
Ipsec 快速 模式 4977 在 快速 模式 协商 过 程 中 ，IPSec 收 到 一 个 无 效 协商 数据 包 
5451 已 建立 IPSec 快速 模式 安全 关联 
5452 IPSec 快速 模式 安全 关联 结束 
注销 4634 账户 被 注销 
4647 用 户 启动 注销 
4624 已 成 功 登录 账户 
登录 4625 账户 无 法 登录 
4648 试图 使 用 明确 凭据 登录 
4675 SID 被 筛选 
网 络 策略 服务 器 6272 网 络 策略 服务 器 授予 用 户 访问 权限 
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类 别 


事件 ID 


续 表 


6273 


网 络 策略 服务 器 拒绝 用 户 访问 


网 络 策略 服务 器 


6274 


网 络 策略 服务 器 放弃 用 户 的 请 求 


6275 


网 络 策略 服务 器 丢弃 记 账 请 求 的 用 户 


6276 


网 络 策略 服务 器 隔离 一 个 用 户 


6277 


网 络 策略 服务 器 授权 用 户 访问 ， 但 因为 主机 不 符合 定义 策略 而 被 阻止 


6278 


主机 满足 网 络 策略 服务 器 定义 的 状况 策略 ， 授 予 完全 访问 


6279 


由 于 重复 验证 失败 ， 网 络 策略 服务 器 锁定 用 户 账户 


6280 


网 络 策略 服务 器 取消 锁定 用 户 账户 


其 他 登录 /注销 事件 


特殊 登录 


4649 


检测 重播 攻击 


4778 


重新 会 话 已 连接 到 窗口 站 


4779 


从 窗口 站 会 话 被 中 断 


4800 


锁定 工作 站 


4801 
4802 
4803. 
5378 
5632 
5633 
4964 


6. 对 象 访问 事件 
表 9-8 中 列 出 了 由 “审核 对 象 访问 ”安全 策略 设置 所 生成 的 安全 事件 。 


类 别 


生成 应 用 程序 


事件 ID 


未 锁定 工作 站 
屏幕 保护 程序 被 调用 

已 关闭 屏幕 保护 程序 

请 求 的 凭据 是 不 允许 的 策略 
对 到 无 线 网 络 进行 了 请 求 
对 到 有 线 网 络 进行 了 请 求 
特殊 组 已 分 配给 新 登录 


表 9-8 审核 对 象 访问 事件 


试图 创建 应 用 程序 客户 端 环境 
应 用 程序 尝试 的 操作 

删除 应 用 程序 客户 端 上 下 文 
初始 化 应 用 程序 


证 书 服 务 


证 书 管理 员 拒绝 挂 起 证 书 请 求 


证 书 服务 收 到 重复 提交 的 证 书 请 求 


证 书 服务 吊销 证 书 


证 书 服务 收 到 请 求 来 发 布 证 书 吊销 列表 (CRI) 


证 书 服务 发 行 证 书 吊 销 列表 (CRL) 


更 改 证 书 申请 扩展 


一 个 或 多 个 证 书 申请 属性 更 改 
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证 书 服务 接收 到 关闭 请 求 


类 别 


事件 ID 


续 表 


证 书 服务 


文件 共享 


文件 系统 子 类 别 


筛选 平台 连接 


4876 


证 书 服务 备份 启动 


4877 


证 书 服务 备份 完成 


4878 


启动 证 书 服务 还 原 


4879 


证 书 服务 还 原 完成 


4880 


证 书 服务 启动 


4881 


证 书 服务 停止 


4882 


对 于 证 书 服务 安全 权限 更 改 


4883 


证 书 服务 检索 存档 密 钥 


4884 


证 书 服务 证 书 导 入 其 数据 库 


4885 


对 于 证 书 服务 审核 筛选 器 进行 更 改 


4886 


证 书 服务 收 到 证 书 请 求 


4887 


证 书 服务 批准 证 书 申请 并 颁发 证 书 


4888 
4889 
4890 
4891 
4892 
4893 
4894 
4895 
4896 
4897 
4898. 
5140 
4664 
4985, 
5051 
5031 


证 书 服务 拒绝 证 书 申请 

证 书 服务 设置 到 挂 起 证 书 请 求 的 状态 

证 书 管理 设置 对 于 证 书 服务 的 更 改 

证 书 服务 中 更 改 一 个 配置 项 

更 改 属性 的 证 书 服务 

证 书 服务 存档 了 密 钥 

证 书 服务 导入 和 存档 密 钥 

证 书 服务 CA 证 书 发 行 到 Active Directory 域 服务 
已 从 证 书 数据 库 删除 一 行 或 多 行 记录 
角色 分 离 启用 

证 书 服务 加 载 模板 

访问 网 络 共享 对 象 

试图 创建 硬 链接 

事务 的 状态 已 更 改 

文件 被 虚拟 化 

Windows 防火 墙 服务 阻止 应 用 程序 接受 网 络 上 的 传 入 连接 


5154 


Windows 过 滤 平 台 具 有 人 允许 应 用 程序 或 服务 端口 上 监听 传 入 的 连接 


5155, 


Windows 过 滤 平 台 已 阻止 应 用 程序 或 服务 端口 上 侦 听 传 入 的 连接 


5156 


Windows 过 滤 平 台 允 许 建立 连接 


5157 


Windows 过 滤 平 台 已 阻止 建立 连接 


5158 


Windows 过 滤 平 台 具 有 允许 绑 定 到 本 地 端口 


5159 


Windows 过 滤 平 台 已 阻止 绑 定 到 本 地 端口 


筛选 平台 数据 包 过 滤 


5152 


Windows 过 滤 平 台 阻止 数据 包 


5153 


限制 性 Windows 过 滤 平 台 筛 选 已 阻止 数据 包 


句柄 


4656 


请 求 句 柄 对 象 
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续 表 
类 别 事件 ID 内 容 

二 4658 关闭 该 控 点 来 关闭 对 象 
4690 试图 复制 一 个 对 象 的 句柄 
4671 应 用 程序 试图 通过 TBS 访问 被 阻止 的 序号 
4691 请 求 对 一 个 对 象 间接 访问 
4698 创建 计划 任务 
4699 删除 计划 任务 

其 他 对 象 访问 事件 4700 已 启用 计划 任务 
4701 计划 任务 被 禁用 
4702 计划 任务 更 新 
5888, 修改 COM+ 目 录 中 的 对 象 
5889 已 从 COM+ 目 录 删 除 对 象 
5890 对 象 被 添加 到 COM+ 目 录 

注册 表 4657 修改 注册 表 值 
5039 虚拟 化 注册 表 项 
4659 对 象 的 句柄 已 请 求 

Multi-use 特殊 子 类 别 2 于 
4661 请 求 句柄 对 象 
4663 试图 访问 对 象 

7. 策略 更 改 事件 
表 9-9 中 列 出 了 由 “策略 更 改 ” 安 全 策略 设置 所 生成 的 安全 事件 。 
表 9-9 策略 更 改 事件 
类 别 事件 ID 内 容 

4715 更 改 对 象 上 的 审核 策略 (SACL 
4719 更 改 系 统 审核 策略 
4902 创建 用 户 审核 策略 表 
4904 被 试图 注册 安全 事件 源 

审核 策略 更 改 4905 被 试图 注销 安全 事件 源 
4906 CrashOnAuditFail 值 已 更 改 
4907 更 改 对 象 上 的 审核 设置 
4908 修改 特殊 组 登录 表 
4912 每 用 户 审核 策略 更 改 
4706 新 信任 创建 到 域 

验证 策 咯 更 改 4707 删除 域 信任 
4713 Kerberos 策略 已 更 改 
4716, 修改 信任 域 信息 
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类 别 事件 ID 内 容 
4717 系统 安全 访问 已 授予 账户 
4718 从 账户 删除 系统 安全 访问 
_ 4864 命名 空间 冲突 检测 
验证 策略 更 改 
4865 添加 可 信任 林 信 息 项 
4866 删除 可 信任 林 信息 项 
4867 修改 信任 信息 项 
4704 分 配 用 户 权 限 
授权 策略 更 改 4705 用 户 权 限 被 删除 
4714 更 改 加 密 数 据 恢复 策略 
4709 IPSec 服务 已 启动 
4710 IPSec 服务 被 禁用 
可 能 包含 下 列 之 一 : 
PAStore 引擎 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 是 本 地 缓存 副本 ; 
PAStore 引擎 在 计算 机 上 应 用 了 Active Directory 存储 IPSec 策略 ; 
PAStore 引擎 在 计算 机 上 应 用 了 本 地 注册 表 存 储 IPSec 策略 ; 
PAStore 引擎 无 法 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 副本 ; 
PAStore 引擎 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 失败 ; 
4711 PAStore 引擎 在 计算 机 上 应 用 本 地 注册 表 存储 IPSec 策略 失败 ; 
PAStore 引擎 无 法 在 计算 机 上 应 用 某 些 规则 的 活动 IPSec 策略 ; 
PAStore 引擎 无 法 加 载 目录 存储 IPSec 策略 在 计算 机 上 ; 
PAStore 引擎 加 载 目录 存储 IPSec 策略 在 计算 机 上 ; 
PAStore 引擎 无 法 加 载 本 地 存储 IPSec 策略 在 计算 机 上 ; 
PAStore 引擎 加 载 本 地 存储 IPSec 策略 在 计算 机 上 ; 
第 选 平台 策略 更 改 PAStore 引擎 轮 询 以 了 解 对 活动 IPsec 策略 更 改 ， 检 测 任何 更 改 
4712 IPSec 服务 遇 到 严重 错误 
5040 IPSec 设置 已 经 更 改 。 添 加 一 个 验证 设置 
5041 IPSec 设置 已 经 更 改 。 验 证 设置 了 修改 
5042 IPSec 设置 已 经 更 改 。 删 除 身份 验证 集 
5043 IPSec 设置 已 经 更 改 。 添 加 连接 安全 规则 
5044 IPSec 设置 已 经 更 改 。 修 改 连 接 安全 规则 
5045 IPSec 设置 已 经 更 改 。 删 除 连接 安全 规则 
5046 IPSec 设置 已 经 更 改 。 添 加 加 密 设置 
5047 IPSec 设置 已 经 更 改 。 加 密 设置 被 修改 
5048 IPSec 设置 已 经 更 改 。 加 密 设置 被 删除 
5440 下 列 标注 为 Windows 筛选 平台 类 别 ， 在 利 选 引擎 启动 时 显示 
5441 下 列 筛选 器 是 Windows 筛选 平台 类 别 ， 在 筛选 引擎 启动 时 显示 
5442 下 列 提 供 程序 是 Windows 筛选 平台 类 别 ， 在 第 选 引擎 启动 时 显示 
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类 别 事件 ID 内 容 
5443 以 下 提供 程序 上 下 文 是 Windows 筛选 平台 类 别 ， 在 第 选 引擎 启动 时 显示 
5444 下 列子 层 是 Windows 短 选 平台 类 别 ， 在 筛选 引擎 启动 时 显示 
5446 Windows 过 滤 平 台 标注 已 更 改 
5448 Windows 过 滤 平 台 提供 程序 已 更 改 
5449 Windows 过 滤 平 台 提供 程序 上 下 文 已 更 改 
5450 Windows 过 滤 平 台子 层 已 更 改 
5456 PAStore 引擎 在 计算 机 上 应 用 了 Active Directory 存储 IPSec 策略 
5457 PAStore 引擎 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 失败 
5458 PAStore 引擎 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 是 本 地 缓存 副本 
5459 PAStore 引擎 无 法 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 是 本 地 缓存 副本 
5460 PAStore 引擎 在 计算 机 上 应 用 了 本 地 注册 表 存储 的 IPSec 策略 
5461 PAStore 引擎 在 计算 机 上 应 用 本 地 注册 表 存储 的 IPSec 策略 失败 
i PAStore 引擎 无 法 在 计算 机 上 应 用 某 些 规则 的 活动 IPsec 策略 。 使 用 IP 安全 监视 器 
管理 单元 来 诊断 问题 
筛选 平台 策略 更 改 5463 PAStore 引擎 轮 询 对 活动 IPSec 策略 更 改 ， 检 测 任何 更 改 
5464 PAStore 引擎 轮 询 对 活动 IPSec 策略 更 改 ， 检 测 更 改 ， 并 将 其 应 用 到 IPSec 服务 
5465 PAStore 引擎 接收 用 于 强制 重新 加 载 IPSec 策略 的 控件 和 成 功 处 理 控件 
PAStore 引擎 对 Active Directory IPSec 策略 进行 轮 询 ，Active Directory 无 法 使 用 
5466 Active Directory IPSec 策略 的 缓存 副本 更 改 。 无 法 应 用 上 次 轮 询 后 对 Active 
Directory IPSec 策略 的 任何 更 改 
PAStore 引擎 对 Active Directory IPSec 策略 进行 轮 询 ，Active Directory 可 以 获得 所 
ey 有 策略 更 改 。Active Directory IPSec 策略 的 缓存 副本 不 再 被 使 用 
PAStore 引擎 通过 轮 询 了 解 Active Directory IPSec 策略 更 改 ， 确 定 Active Directory 
5468 可 被 访问 ， 找 到 对 应 策略 ， 并 应 用 这 些 更 改 。Active Directory IPSec 策略 的 缓存 副 
本 不 再 被 使 用 
5471 PAStore 引擎 加 载 本 地 存储 IPSec 策略 在 计算 机 上 
5472 PAStore 引擎 无 法 加 载 本 地 存储 IPSec 策略 在 计算 机 上 
5473 PAStore 引擎 加 载 目录 存储 IPSec 策略 在 计算 机 上 
5474 PAStore 引擎 无 法 加 载 目 录 存 储 IPSec 策略 在 计算 机 上 
5477 PAStore 引擎 无 法 添加 快速 模式 筛选 器 
4944 Windows 防火 墙 启动 时 下 列 策略 处 于 活动 
4945 Windows 防火 墙 启动 时 被 列 出 规则 
4946 Windows 防火 墙 例外 列表 已 被 进行 更 改 ， 添 加 规则 
MPSSVC 规则 - 级别 
策略 更 改 4947 Windows 防火 墙 例 外 列表 已 被 进行 更 改 ， 修 改 规则 
4948 Windows 防火 墙 例 外 列表 已 被 进行 更 改 ， 删 除 规则 
4949 Windows 防火 墙 设置 已 还 原 到 默认 值 
4950 Windows 防火 墙 设置 已 经 更 改 
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类 别 事件 ID 内 容 
4951 规则 已 忽略 因为 通过 Windows 防火 墙 无 法 识别 其 主 版 本 号 
po 由 于 通过 Windows 防火 墙 无 法 识别 其 次 要 版 本 号 部 分 规则 已 被 忽略 ,将 强制 规则 的 
其 他 部 分 

MPSSVC 规则 - 级 别 | 4953 因为 无 法 解析 规则 ， 已 忽略 通过 Windows 防火 墙 

策略 更 改 4954 Windows 防火 墙 组 策略 设置 已 更 改 ， 已 应 用 新 设置 
4956 Windows 防火 墙 已 更 改 活动 配置 文件 
4957 Windows 防火 墙 未 应 用 以 下 规则 
4958 由 于 规则 引用 此 计算 机 上 没有 配置 项 目 ， 导 致 Windows 防火 墙 采 用 以 下 规则 
4909 更 改 用 于 TBS 本 地 策略 设置 
4910 更 改组 策略 设置 TBS 
5063 试图 提供 加 密 操作 
5064 试图 加 密 上 下 文 操作 
5065 试图 加 密 上 下 文 修改 
5066 试图 加 密 函数 操作 

其 他 策略 更 改 事件 5067 试图 加 密 函 数 修改 
5068 试图 为 加 密 函 数 提供 操作 
5069 试图 加 密 函 数 属 性 
5070 试图 加 密 函数 属性 修改 
5447 Windows 过 滤 平 台 筛 选 已 被 更 改 
6144 成 功 应 用 了 组 策略 对 象 中 安全 策略 
6145 处 理 组 策略 对 象 中 的 安全 策略 时 出 错 

Multi-use 特殊 子 类 别 | 4670 更 改 对 象 上 的 权限 


8. 特权 使 用 事件 
表 9-10 中 列 出 了 由 “审核 特权 使 用 ”安全 策略 设置 所 生成 的 安全 事件 。 


表 9-10 审核 特权 使 用 事件 


类 别 


| 4672 
6 


[a 


特殊 权限 赋予 新 登录 
特权 服务 调用 
试图 在 特权 对 象 操作 


敏感 特权 使 用 / 非 敏 


感 特 权 使 用 一 


4674 


9.， 审核 系统 事件 
表 9-11 中 列 出 了 由 “审核 系统 事件 ”安全 策略 设置 所 生成 的 系统 事件 。 


E3511 


@ Windows Server 2008 -二 3 人 


表 9-11 审核 系统 事件 


类 别 事件 ID 内 容 
IPSec 丢弃 传 入 数据 包 完整 性 检查 失败 。 如 果 问 题 仍 然 存 在 ， 则 可 能 表明 网 络 问 题 或 该 数据 包 
4960 被 修改 传输 到 此 计算 机 中 。 验 证 从 远程 计算 机 发 送 数 据 包 是 否 与 由 此 计算 机 接收 相同 。 此 错误 
也 可 能 表明 与 其 他 IPSec 实现 互 操 作 性 问题 
4961 IPSec 丢弃 传 入 数据 包 重 播 检 查 失 败 。 如 果 问 题 仍 然 存在 ， 则 可 能 表明 对 本 机 的 重播 攻击 
4962 IPSec 丢弃 传 入 的 数据 包 重播 检查 失败 消息 
IPSec 丢弃 应 该 已 被 保护 的 入 站 明文 数据 包 。 这 通常 是 由 于 到 远程 计算 机 更 改 其 IPSec 策略 没 
| 有 通知 此 计算 机 ， 也 可 能 是 炊 骗 攻击 尝试 
IPSec 从 远程 计算 机 与 一 个 正确 安全 参数 索引 (SPD 收 到 一 个 数据 包 。 这 通常 由 数据 包 被 破坏 的 
pe 硬件 故障 导致 的 。 如 果 持续 ， 这 些 错误 验证 从 远程 计算 机 发 送 数据 包 是 否 与 由 此 计算 机 接收 相 
同 。 此 错误 也 可 能 表明 与 其 他 IPSec 实现 互 操 作 性 问题 。 这 时 ， 如 果 连 接 性 是 畅通 的 ， 这 些 事 
IPSec 驱动 件 可 被 忽略 
程序 5478 IPSec 服务 成 功 启动 
IPSec 服务 已 成 功 关闭 。 关 闭 对 IPSec 服务 可 使 计算 机 受到 更 危险 的 网 络 攻 击 或 者 将 计算 机 暴 
5479 | 器 给 潜在 安全 风险 
IPSec 服务 无 法 获取 完整 的 计算 机 上 网 络 接口 列表 。 这 会 带 来 潜在 安全 风险 ， 因 为 某 些 网 络 接 
499 | 口 的 可 能 无 法 获得 通过 应 用 IPSec 第 选 器 提供 保护 。 使 用 !P 安全 监视 器 管理 单元 来 诊断 问 是 
5483 IPSec 服务 无 法 初始 化 RPC 服务 器 。IPSec 服务 无 法 启动 
IPSec 服务 遇 到 一 个 关键 性 失败 ， 已 关闭 。 关 闭 IPsec 服务 可 能 使 计算 机 更 危险 的 网 络 攻击 或 
5 | 者 将 计算 机 暴露 给 潜在 安全 风险 
IPSec 服务 无 法 处 理 网 络 接口 的 即 插 即 用 事件 。 某 些 IPSec 筛选 器 会 因为 某 些 网 络 接口 的 可 能 
5485 无 法 获得 通过 应 用 IPSec 筛选 器 提供 保护 ， 带 来 潜在 安全 风险 。 使 用 IP 安全 监视 器 管理 单元 
来 诊断 问题 
5024 Windows 防火 墙 服务 成 功 启动 
5025 Windows 防火 墙 服务 已 停止 
5027 Windows 防火 墙 服务 无 法 从 本 地 存储 器 检索 安全 策略 。 服 务 将 继续 强制 当前 策略 
5028 Windows 防火 墙 服务 无 法 分 析 新 安全 策略 。 服 务 将 继续 实施 当前 策略 
5029 Windows 防火 墙 服务 无 法 初始 化 驱动 程序 。 服 务 将 继续 强制 实施 当前 策略 
5030 Windows 防火 墙 服务 无 法 启动 
We 5032 Windows 防火 墙 无 法 通知 用 户 它 阻止 应 用 程序 接受 网 络 上 传 入 的 连接 
5033 Windows 防火 墙 驱 动 程序 成 功 启动 
5034 Windows 防火 墙 驱 动 程序 已 停止 
5035 Windows 防火 墙 驱动 程序 无 法 启动 
5037 Windows 防火 墙 驱动 程序 检测 到 关键 运行 错误 。 终 止 
5058 密 钥 文件 操作 
5059 密 钥 迁 移 操作 
安全 状态 ”| 4608 正在 启动 Windows 
更 改 4609 关闭 Windows 
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类 别 | 事件 ID 内 容 
安全 状态 | 4616 更 改 系 统 时 间 
更 改 4621 管理 员 从 审核 失败 状态 恢复 系统 。 非 管理 员 用 户 将 允许 进行 登录 。 某 些 审核 活动 可 能 没有 记录 
4610 加 载 通过 本 地 安全 机 构 验证 包 
4611 可 信和 登录 进程 已 在 本 地 安全 机 构 注册 


安全 系 
统 扩 展 | 4614 通知 包 被 加 载 到 安全 账户 管理 器 
4622 通过 本 地 安全 机 构 到 加 载 安全 程序 包 
4697 系统 中 已 安装 服务 
4612 分 配给 的 审核 消息 队列 的 内 部 资源 已 被 用 尽 ， 导 致 某 些 审核 丢失 
4615 无 效 使 用 LPC 端口 
4618 监视 的 安全 事件 模式 出 现 图 案 发 生 
4816 RPC 检测 到 解密 传 入 的 消息 时 的 完整 性 冲突 
系统 Es 代码 完整 性 确定 文件 的 哈 希 值 无 效 。 文 件 可 能 是 因 受 到 未 经 授权 修改 而 损坏 ， 或 无 效 哈 希 运算 错 
完整 性 


5056 执行 自 检 加 密 

5057 加 密 基 元 操作 失败 
5060 验证 操作 失败 

5061 加 密 操作 

5062 执行 内 核 模式 加 密 自 检 


9.2.3 日 志 分 析 


在 基于 NTFS 格式 的 操作 系统 中 使 用 审核 策略 ， 虽 然 不 能 对 用 户 的 访问 进行 控制 ， 但 是 通过 打开 审核 
产生 的 安全 日 志 ， 可 以 了 解 系统 在 哪些 方面 存在 安全 隐患 以 及 系统 资源 的 使 用 情况 ， 从 而 为 追踪 黑客 提供 
可 靠 依据 ;同时 还 有 利于 采取 相应 的 防范 措施 将 系统 的 不 安全 因素 降 到 最 低 ， 从 而 营造 一 个 更 加 安全 可 靠 
的 基于 NTFS 格式 的 操作 系统 平台 。 经 常 查看 事件 日 志 有 助 于 预测 和 识别 系统 和 安全 问题 的 根源 。 

事件 里 的 安全 日 志 是 系统 安全 审核 的 记录 所 在 ， 应 根据 服务 器 的 性 能 及 选择 的 审核 对 象 和 记录 产生 速 
度 定义 好 大 小 ， 一 般 建 议 为 1024MB， 并 定义 处 理 方式 为 镍 盖 30 天 前 的 数据 ， 这 样 日 志 中 就 可 以 保存 30 
天 的 数据 资料 。 如 果 选 择 了 按 需要 蓝 盖 ， 则 系统 记录 满 后 将 自动 缆 盖 最 早 的 数据 (不 建议 ]， 如 果 选 择 了 手 
工 清除 ， 请 确保 的 日 志 大 小 足够 大 。 安 全 日 志 记录 满 后 如 果 不 能 自动 处 理 ， 将 禁止 用 户 使 用 计算 机 。 安 全 
日 志 不 能 正确 记录 时 ， 系 统 将 立即 关闭 计算 机 。 这 些 也 可 以 在 策略 中 修改 。 这 里 需要 特别 注意 的 是 ， 当 发 
现 一 个 审核 失败 时 ， 并 不 一 定 意味 着 是 一 个 安全 问题 ， 在 正常 操作 中 ， 偶 尔 也 会 发 生 目 录 访 问 或 特权 使 用 
失败 的 情况 ， 应 特殊 问题 特殊 对 待 。 


9.3 可靠 性 和 性 能 


在 Windows Server 2008 和 Windows Vista 系统 中 ， 用 全 新 的 “可 靠 性 和 性 能 ”监视 工具 代替 了 原来 
的 “性 能 日 志和 警报 ”功能 模块 ， 主 要 功能 仍 是 实时 检查 运行 程序 对 计算 机 性 能 的 影响 ， 并 收集 日 志 数据 
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供 以 后 分 析 使 用 。Windows 可 靠 性 和 性 能 监视 器 包含 可 合并 进 数据 收集 器 集 的 性 能 计数 器 、 事 件 跟踪 数据 
和 配置 信息 ， 是 系统 管理 员 的 必 备 工具 之 一 。 


9.3.1 监视 工具 


Windows 可 靠 性 和 性 能 监视 器 包括 3 个 监视 工具 : 资源 概述 视图 、 性 能 监视 器 和 可 靠 性 监视 器 。 

1. 资源 概述 视图 

以 管理 员 账户 登录 系统 ， 依 次 单 击 “开始 ”一 “管理 工具 ”一 “可 靠 性 和 性 能 监视 器 ”命令 ， 显 示 如 
图 9-41 所 示 的 “资源 概述 ” 窗 格 。Windows 可 靠 性 和 性 能 监视 器 组 合 了 以 前 独立 工具 的 功能 ， 包 括 性 能 日 志 
和 警报 (PLA)、 服 务 器 性 能 审查 程序 (SPA) 和 系统 监视 器 。 它 提供 了 自 定义 数据 收集 器 集 和 事件 跟踪 会 话 的 图 表 
界面 。 


查看 中 忆 芒 夫 中 | 亩 D mm 帮助 9 
pm 


a 
如 大 10. 网 阁 55-， 内 站 100 


加 四 图 国 


PF 站 lx 是 ki 。 一 


图 9-41 “资源 概述 ” 窗 格 


Windows 可 靠 性 和 性 能 监视 工具 的 主页 就 是 “资源 概述 ”窗口 ， 当 用 户 以 本 地 Administrators 组 成 员 
身份 登录 时 ， 可 以 实时 监视 CPU、 磁 盘 、 网 络 和 内 存 资源 的 使 用 情况 和 性 能 ， 并 且 可 以 通过 展开 4 个 资源 
获得 详细 信息 。 例 如 ， 展 开 “ 网 络 ” 资 源 ， 显 示 如 图 9-42 所 示 的 窗口 ， 在 这 里 用 户 即 可 查看 当前 系统 有 哪 
些 进程 正在 使 用 网 络 、 每 个 进程 发 送 和 接收 的 字 节 数 、 连 接 的 远程 主机 IP 地 址 以 及 本 地 IP 地 址 等 信息 。 

2. 性 能 监视 器 

性 能 监视 器 可 以 实时 或 查看 历史 数据 的 方式 显示 内 置 的 Windows 性 能 计数 器 。 性 能 监视 器 的 主要 目标 
就 是 “对 象 ”， 即 特定 的 控制 服务 器 资源 的 服务 或 机 制 ， 例 如 处 理 器 对 象 、 内 存 对 象 、Web 对 象 等 。 每 一 
对 象 的 不 同方 面 的 属性 称 为 “计数 器 ”， 因 此 性 能 监视 器 真正 记录 的 是 这 些 计数 器 的 值 ， 例 如 ， 处 理 器 对 
象 的 %Processer Time 计数 器 、 内 存 对 象 的 Pages Fault/Sec 计数 器 等 。 另 外 ， 用 户 也 可 以 根据 需要 创建 一 
些 自 定义 计数 器 ， 以 实现 对 更 多 功能 的 实时 监视 。 

(GD 添加 计数 器 

计数 器 是 性 能 监视 器 工作 的 重要 依据 ，Windows Server 2008 系统 默认 已 经 集成 了 多 个 计数 器 ， 用 户 
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可 以 根据 需要 选择 添加 ， 并 且 随 着 其 他 应 用 服务 的 安装 ， 还 将 随 之 创建 其 他 计数 器 ， 可 用 于 完成 对 相关 事 
件 日 志 的 分 析 。 如 安装 HS 组 件 之 后 就 会 自动 添加 HS 计数 器 ， 包 括 Web 服务 计数 器 、FTP 服务 计数 器 等 。 


=l9lx] 
|=lelxl 


EE | 
Pe 0- 


可 村 性 和 性 证 。 ~ 
甘 四 


型 生 。 10-.， 


LL 


图 9-42 “网络” 资源 详细 信息 


Q@ 在 “可 靠 性 和 性 能 监视 器 ”窗口 中 ， 单 击 “ 性 能 监视 器 ” 即 可 显示 如 图 9-43 所 示 的 性 能 监视 器 窗 
格 。 默 认 情况 下 ， 系 统 只 对 本 地 计算 机 处 理 器 运行 情况 进行 性 能 监视 和 分 析 。 


浆 六 件 号 ， 据 作 内 至 看 mm 必要 友 n) 而 口 和) 现下 00 |-lel2g 
[和 人 EJIRCIILIed _ 

可 蛙 性 和 性 能 se 日 
人 EEEEE LTT TL ILI 


而 可 事 性 点 祝 了 
图 量 由 损 上 全 入 
ET 


了 

村 7 A 未 
VI AM WM A 

obs EE EE CT 


图 9-43 性 能 监视 器 窗 格 


@ 在 窗口 空白 处 右 击 ， 并 选择 快捷 菜单 中 的 “添加 计数 器 ”命令 ， 打 开 如 图 9-44 所 示 的 “添加 计数 
器 ”对 话 框 。 在 “从 计算 机 选择 计数 器 ”列表 中 ， 选 择 希望 应 用 的 计数 器 。Windows 系统 提供 的 
监视 器 都 是 以 分 组 方式 显示 的 ， 即 用 户 可 以 选择 添加 一 组 计数 器 ， 也 可 以 选择 其 中 的 一 个 或 者 几 
个 ， 然 后 单 击 “ 添 加 ”按钮 ， 即 可 将 其 添加 到 “添加 的 计数 器 ”列表 中 。 需 要 注意 的 是 ， 在 “性 
能 监视 器 ”窗口 中 ,每 个 计数 器 的 运行 状态 都 会 以 不 同 的 颜色 或 格式 显示 ， 如 果 选 择 计数 器 较 多 ， 
则 很 难 分 辨 ， 因 此 建议 只 添加 自己 需要 的 计数 器 。 
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图 9-44 “添加 计数 器 ”对 话 框 


[e | 提示 : 选中 “显示 描述 ” 复 选 框 ， 还 可 以 查看 每 个 计数 器 的 详细 信息 。 


@ 单 击 “ 确 定 ” 按 钮 ， 所 选 计数 器 即 可 添加 到 “性 能 监视 器 ”窗口 中 ， 并 开始 工作 ， 如 图 9-45 所 示 。 
性 能 监视 器 默认 以 曲线 形式 反映 监视 计数 器 的 运行 情况 。 在 工具 栏 中 单 击 “ 更 改 图 形 类 型 ”图 标 ， 
用 户 还 可 以 根据 自己 的 需要 变换 信息 显示 方式 ， 如 直方 图 、 报 告 等 方式 。 


图 9-45 成 功 添加 的 计数 器 


© 注意 ; 要 执行 此 过 程 ， 必 须 是 本 地 计算 机 Administrators 组 或 Performance Log Users 组 的 成 员 ， 或 者 必须 
被 委派 了 适当 的 权限 。 如 果 计 算 机 已 加 入 某 个 域 ， 则 Domain Admins 组 的 成 员 可 能 会 执行 该 过 程 。 


图 在 “性 能 监视 器 ”窗口 中 右 击 ， 并 选择 快捷 菜单 中 的 “属性 ”命令 ， 打 开 如 图 9-46 所 示 的 “性 能 
监视 器 属性 ” 对话 框 。 默认 显示 “数据 ” 选项 卡 ， 即 当前 正在 运行 的 所 有 计数 器 。 在 该 选项 卡 中 ， 
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可 以 对 所 选 计数 器 的 显示 状态 进行 设置 ， 如 颜色 、 宽 度 、 样 式 等 。 

回 单 击 “ 常 规 ” 标 签 切换 到 如 图 9-47 所 示 的 “常规 ”选项 卡 。 在 “显示 元 素 ” 选 项 区 域 中 可 以 设置 
“性 能 监视 器 ” 主 窗口 中 显示 的 元 素 类 型 ， 建 议 保持 系统 默认 设置 ， 即 显示 所 有 元 素 ， 便 于 比 对 
和 查看 。 


图 9-46 “性 能 监视 器 属性 ”对 话 框 图 9-47 “常规 ”选项 卡 


切换 至 “来 源 ” 选 项 卡 ， 系 统 默认 选择 “当前 活动 ” 单 选 按钮 ， 即 以 当前 事件 信息 为 数据 源 。 选 
择 “ 日 志文 件 ” 单 选 按钮 ， 然 后 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 日 志文 件 ” 对 话 框 ， 选 择 希望 查 
阅 的 事件 日 志 即 可 ， 如 图 9-48 所 示 。 性 能 监视 器 支持 Windows 可 靠 性 和 性 能 监视 器 中 产生 的 所 
有 类 型 的 日 志文 件 。 

@ 单 击 “ 图 表 ” 标 签 切换 到 如 图 9-49 所 示 的 “图 表 ” 选 项 卡 。 在 “查看 ”下 拉 列 表 框 中 可 以 设置 “性 
能 监视 器 ”默认 的 查看 方式 ， 系 统 默认 的 是 “线条 ” 即 曲线 图 的 查看 方式 ， 监 视 对 象 较 少时 可 以 
采用 这 种 方式 ， 而 当 监 视 对 象 较 多 时 建议 采用 “直方 图 条 ”; 若 要 查看 准确 的 数据 信息 则 可 以 使 
用 “报告 ”的 方式 。 在 这 里 还 可 以 设置 “性 能 监视 器 ”显示 的 标题 和 “垂直 轴 ” 标 注 等 ， 另 外 ， 
为 了 查看 更 为 精确 的 结果 还 可 以 选中 “垂直 格 线 ” 和 “水 平 格 线 ” 复 选 框 。 


[3 


图 9-48 “来 源 ”选项 卡 图 9-49 “图 表 ” 选 项 卡 


(2) 删除 计数 器 
如 果 添 加 的 计算 器 过 多 ， 不 仅 严重 影响 服务 器 运行 速度 ， 而 且 不 容易 分 辨 。 所 以 必要 的 时 候 要 删除 不 
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用 的 或 非 必要 的 计数 器 。 删 除 操作 非常 简单 ,只 需 在 性 能 监视 器 的 监视 对 象 列 表 中 选中 想 要 删除 的 计数 器 ， 


然后 依次 单 击 “ 性 能 ”一 “删除 ”命令 即 可 ， 或 者 按 Delete 键 删除 所 选 
计数 器 。 也 可 以 在 “性 能 监视 器 ”窗口 中 右 击 ， 选 择 快捷 菜单 中 的 “删除 
所 有 计数 器 ”命令 ， 打 开 如 图 9-50 所 示 的 “性 能 监视 器 控制 ”对 话 框 ， 
单 击 “ 确 定 ” 按 钮 即 可 删除 当前 运行 的 所 有 计数 器 。 


磅 实 委 王 除 添加 的 所 有 计数 咒 吗 ? 


Cw | 


(3】 常用 计数 器 图 9-50 “性 能 监视 器 控制 ”对 话 框 
Windows 操作 系统 中 内 置 了 数 百 个 计数 器 表 9-12 中 列 出 了 部 分 常用 的 计数 器 并 做 出 了 简要 的 解释 。 


性 能 监视 器 对 象 


表 9-12 常用 Windows 计数 器 


描 述 


Processor 


Processor 瓶颈 


指 处 理 器 执行 非 闲 置 线程 时 间 的 百分比 。 这 个 计数 器 设计 成 用 来 作为 处 理 器 活 
动 的 主要 指示 器 。 它 通过 在 每 个 范例 间隔 中 衡量 处 理 器 用 于 执行 闲置 处 理 线程 
%Processor Time( 所 | 的 时 间 ， 并且 用 100% 减 去 该 值得 出 。( 每 台 处 理 器 有 一 个 闲置 线程 ， 该 线程 在 
有 实例 ) 没有 其 他 线程 可 以 运行 时 消耗 周期 ] 可 将 其 视 为 范例 间隔 用 于 做 有 用 工作 的 百 
分 比 。 这 个 计数 器 显示 在 范例 间隔 时 所 看 到 的 忙 时 平均 值 ， 这 个 值 是 用 100% 
减 去 该 服务 不 活动 的 时 间 计算 出 来 的 

指 处 理 器 每 秒 钟 接收 并 维护 的 硬件 中 断 的 平均 值 。 它 不 包括 DPC，DPC 将 单 
独 计算 。 这 个 值 是 产生 中 断 的 设备 (如 : 系统 时 钟 、 鼠 标 、 磁 盘 驱 动 器 、 数 据 
通信 线路 、 网 络 接口 卡 和 其 他 附件 设备 ) 活 动 的 间接 指示 器 ， 这 些 设备 通常 在 
完成 了 一 项 任务 或 需要 注意 时 中 断 处 理 器 。 正 常 的 线程 操作 在 中 断 时 悬 停 。 大 
多 数 系统 时 钟 每 隔 10ms 中 断 处 理 器 一 次 ， 形 成 了 间隔 活动 的 后 台 。 这 个 计数 
值 显 示 用 上 两 个 实例 中 观察 到 的 值 的 差 除 以 实例 间隔 的 持续 时 间 所 得 的 值 

是 指 处 理 列队 中 的 线程 数 。 即 使 在 有 多 个 处 理 器 的 计算 机 上 处 理 器 时 间 也 会 有 
一 个 单列 队 。 不 像 磁盘 计数 器 ， 这 个 计数 器 仅 计数 就 绪 的 线程 ， 而 不 计数 运行 
中 的 线程 。 如 果 处 理 器 列队 中 总 是 有 两 个 以 上 的 线程 ， 通 常 表示 处 理 器 堵塞 。 
这 个 计数 器 仅 显示 上 一 次 观察 的 值 ， 而 不 是 一 个 平均 值 

指 计算 机 上 的 所 有 处 理 器 全 都 从 一 个 线程 转换 到 另 一 个 线程 的 综合 速率 。 当 正 
在 运行 的 线程 自动 放弃 处 理 器 时 出 现 上 下 文 转换 ,由 一 个 有 更 高 优先 就 绪 的 线 
程 占 先 或 在 用 户 模式 和 特权 (内 核 ) 模 式 之 间 转 换 以 使 用 执行 或 分 系统 服务 。 它 
是 在 计算 机 所 有 处 理 器 上 运行 的 所 有 线程 的 Thread: Context Switches/sec 的 
总 数 并 且 用 转换 数量 衡量 。 在 系统 和 线程 对 象 上 有 上 下 文 转 换 计数 器 。 这 个 计 
数值 显示 在 上 一 次 两 个 实例 中 观察 到 的 值 除 以 实例 间隔 的 持续 时 间 所 得 的 值 
的 差异 


Interrupts/sec 


System/Processor 
Queue Length( 所 有 
实例 ) 


System/Context 


Switches/sec 


Process 
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Private Bytes 指 这 个 处 理 不 能 与 其 他 处 理 共享 的 、 已 分 配 的 当前 字 节 数 


指 处 理 使 用 的 虚拟 地 址 空间 的 以 字 节 数 显示 的 当前 大 小 。 使 用 虚拟 地 址 空间 不 
Virtual Bytes 一 定 是 指 对 磁盘 或 主 内 存 页 的 相应 的 使 用 。 虚拟 空间 是 有 限 的 , 如 果 使 用 过 多 ， 
可 能 会 限制 处 理 加 载 数据 库 的 能 力 


续 表 


性 能 监视 器 对 象 描 述 


指 这 个 处 理 的 Working Set 中 的 当前 字 节 数 。 Working Set 是 在 处 理 中 被 线程 
最 近 触 到 的 那个 内 存 页 集 。 如 果 计 算 机 上 的 可 用 内 存 处 于 阔 值 以 上 ， 即 使 页 不 
‘Working Set 在 使 用 中 ， 也 会 留 在 一 个 处 理 的 Working Set 中 。 当 可 用 内 存 降 到 阔 值 以 下 ， 
将 从 Working Set 中 删除 页 .如果 需要 页 时 , 它 会 在 离开 主 内 存 返回 到 Working 
Set 中 

由 这 个 处 理 现在 打开 的 句柄 总 数 。 这 个 数字 是 在 这 个 处 理 中 每 个 线程 当前 打开 
的 句柄 的 总 数 

此 值 为 处 理 器 中 的 页 面 错 误 的 计数 。 当 进程 引用 特定 的 虚拟 内 存 页 ， 该 页 不 在 
其 在 主 内 存 的 工作 集 当 中 时 ， 将 出 现 页 面 错误 。 如 果 某 页 位 于 待机 列表 中 ( 因 
此 它 已 经 位 于 主 内存 中 )， 或 者 它 正 在 被 共享 该 页 的 其 他 进程 所 使 用 ， 则 页 面 
错误 不 会 导致 该 页 从 磁盘 中 提取 出 


线程 指 在 数据 收集 时 在 计算 机 中 线程 的 数目 。 请 注意 这 是 一 个 即时 计算 而 不 是 
Objects Threads 一 个 时 间 间 隔 的 平均 值 。 一 个 线程 为 一 个 基本 的 可 执行 实体 ， 该 实体 在 处 理 器 
中 执行 指令 


是 计算 机 上 可 用 于 运行 处 理 的 有 效 物 理 内 存 的 字 节 数量 。 是 用 零 、 空 闲 和 备用 
内 存 表 上 的 空间 总 值 计算 的 。 空 闲 内 存 指 可 以 使 用 内 存 ; 零 内 存 指 为 了 防止 以 
Available Bytes 后 的 处 理 看 到 以 前 处 理 使 用 的 数据 而 在 很 多 页 内 存 中 充满 了 零 的 内 存 ; 备用 内 
存 是 指 从 处 理 的 工作 集 ( 它 的 物理 内 存 ) 移 到 磁盘 的 ， 但 是 仍旧 可 以 调用 的 内 


Process 
Handle Count 


Page Faults/sec 


A 存 。 这 个 计数 器 只 显示 上 一 次 观察 到 的 值 ， 它 不 是 一 个 平均 值 
是 System Cache Resident Bytes 的 总 数 。System Driver Resident Bytes、 
Cache Bytes System Code Resident Bytes 以 及 Pool Paged Resident Bytes 计数 器 。 该 计数 
器 只 显示 最 后 一 次 观察 的 值 ， 它 不 是 一 个 平均 值 
是 指 为 解析 硬 页 错误 从 磁盘 读 取 或 写 入 磁盘 的 页 数 。( 当 处 理 程序 请 求 不 在 本 
身 工作 集 或 物理 内 存 其 他 地 方 中 的 代码 或 数据 , 而 必须 要 从 磁盘 上 检索 时 就 会 
出 现 硬 页 错误 ] 这 个 计数 器 设计 成 可 以 显示 导致 系统 范围 延缓 类 型 错误 的 主要 
指示 器 。 它 是 Memory: Pages Input/sec 和 Memory: Pages Output/sec 的 总 
计 扩 和 ， 是 用 页 数 计算 的 ， 以 便 在 不 用 作 转 换 的 情况 下 就 可 以 同 其 他 页 计数 如 
Memory: Page Faults/sec 作 比 较 ， 这 个 值 包括 为 满足 错误 而 在 文件 系统 缓存 
Memory 瓶颈 或 (通常 由 应 用 程序 请 求 ) 的 非 缓存 映射 内 存 文 件 中 检索 的 页 。 这 个 计数 器 显示 用 
溢出 上 两 个 实例 中 观察 到 的 值 之 间 的 差 除 以 实例 间隔 的 持续 时 间 所 得 的 值 


是 指 为 解析 硬 页 错误 而 读 取 磁 盘 的 次 数 。( 当 处 理 请 求 的 硬 页 错误 不 在 工作 集 
和 物理 内 存 其 他 地 方 中 的 代码 或 数据 , 而 必须 从 磁盘 上 检索 时 就 会 出 现 硬 页 错 
ap eed 误 ) 这 个 计数 器 设计 成 可 以 显示 导致 系统 范围 延缓 错误 的 主要 指示 器 。 这 个 包 
括 要 满足 错误 而 在 文件 系统 缓存 (通常 由 应 用 程序 请 求 ) 的 非 缓存 映射 内 存 文 
件 中 检索 的 页 。 这 个 计数 器 显示 用 上 两 个 实例 中 观察 到 的 值 之 间 的 差 除 以 实例 


间隔 的 持续 时 间 所 得 的 值 
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续 表 
性 能 监视 器 对 象 计数 器 描述 
是 指 由 在 修改 页 列表 、 备 份 页 表 或 在 页 错误 时 写 入 磁盘 上 造成 的 页 错误 数量 。 
Transition 这 些 页 是 在 没有 额外 磁盘 活动 的 情况 下 恢复 的 。 传输 错误 是 在 不 计算 每 次 操作 
Faults/sec 时 出 错 的 页 数 的 情况 下 计算 错误 数量 。 这 个 计数 器 显示 用 上 两 个 实例 中 观察 到 


Memory 瓶颈 或 
溢出 


PhysicalDisk 


PhysicalDisk 的 
瓶颈 


System 
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的 值 之 间 的 差 除 以 实例 间隔 的 持续 时 间 所 得 的 值 


指 在 分 页 池 中 的 字 节 数 ， 分 页 池 是 系统 内 存 (操作 系统 使 用 的 物理 内 存 ) 中 可 供 
对 象 (在 不 使 用 时 可 以 写 入 磁盘 的 ] 使 用 的 一 个 区 域 。 Memory: Pool Paged Bytes 
Pool Paged Bytes 的 计数 方式 与 Process: Pool Paged Bytes 的 方式 不 同 ， 因 此 可 能 不 等 于 
Process: Pool Paged Bytes:_Total。 这 个 计数 器 仅 显 示 上 一 次 观察 的 值 ; 而 不 是 
一 个 平均 值 


指 在 非 分 页 池 中 的 字 节 数 ， 非 分 页 池 是 指 系统 内 存 (操作 系统 使 用 的 物理 内 存 ) 
中 可 供 对 象 ( 指 那些 在 不 使 用 时 不 可 以 写 入 磁盘 上 而 且 只 要 分 派 过 就 必须 保留 
在 物理 内 存 中 的 对 象 ] 使 用 的 一 个 区 域 。 Memory: Pool Nonpaged Bytes 的 计数 
方式 与 Process: Pool Nonpaged Bytes 的 计数 方式 不 同 , 因此 可 能 不 等 于 Pool 
Nonpaged Bytes: _Total。 这 个 计数 器 仅 显 示 上 一 次 观察 的 值 ， 而 不 是 一 个 平 
均值 

指 所 选 磁盘 驱动 器 忙于 为 读 或 写 入 请 求 提供 服务 所 用 的 时 间 的 百分比 。 请 谨慎 


Pool Nonpaged Bytes 


WDisk Time 对 待 % Disk Time 计数 器 。 因 为 该 计数 器 的 -Total 实例 不 能 精确 反映 多 磁盘 系 
统 的 利用 率 ， 因 此 使 用 % Idle Time 计数 器 也 非常 重要 

% Idle Time 汇报 在 实例 间隔 时 磁盘 闲置 时 间 的 百分比 

Disk Reads/sec 指 在 磁盘 上 读 取 操作 的 速率 


Disk Writes/sec 指 在 磁盘 上 写 入 操作 的 速率 

Avg.Disk Queue _， 

Leneth( 所 有 实例 指 读 取 和 写 入 请 求 (为 所 选 磁盘 在 实例 间隔 中 列队 的 ] 的 平均 数 

指 在 计算 机 的 所 有 逻辑 磁盘 上 读 取 和 写 入 操作 的 综合 速度 。 这 是 系统 的 逆转 
率 : 每 秒 钟 的 文件 控制 操作 。 这 个 总 值 显示 了 上 两 个 实例 中 观察 到 的 值 的 差异 
除 以 实例 间隔 的 时 间 

是 指 处 理 列队 中 的 线程 数 。 即使 在 有 多 个 处 理 器 的 计算 机 上 处 理 器 时 间 也 会 有 
Processor ”Queue | 一 个 单列 队 。 不 像 磁盘 计数 器 ， 这 个 计数 器 仅 计数 就 绪 的 线程 ， 而 不 计数 运行 
Length 中 的 线程 。 如 果 处 理 器 列队 中 总 是 有 两 个 以 上 的 线程 通常 表示 处 理 器 堵塞 。 这 
个 计数 器 仅 显 示 上 一 次 观察 的 值 ， 而 不 是 一 个 平均 值 


File Data 


Operations/ sec 


系统 上 所 有 处 理 器 都 忙于 执行 非 空闲 线程 的 时 间 的 平均 百分比 。 在 多 处 理 器 系 
统 上 ， 如 果 所 有 处 理 器 始终 处 于 忙碌 状态 ， 则 此 值 为 100%; 如 果 所 有 处 理 器 
% Total Processor 的 50% 处 于 忙碌 状态 ， 则 此 值 为 50%; 如 果 这 些 处 理 器 中 的 1/4 处 于 100% 
Time 忙碌 状态 ， 则 此 值 为 25%。 它 可 被 视 为 有 用 作业 占用 的 时 间 的 比率 。 将 为 每 个 
处 理 器 分 配 空闲 进程 中 的 一 个 空闲 线程 , 此 空闲 线程 将 消耗 所 有 其 他 线程 不 使 
用 的 那些 非 生 产 性 处 理 器 周期 
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3. 可 靠 性 监视 器 

可 靠 性 监视 器 是 Windows 可 靠 性 和 性 能 监视 器 管理 单元 的 一 部 分 , 可 以 提供 系统 稳定 性 概览 和 影响 可 
靠 性 事件 的 详细 信息 。Windows 可 靠 性 监视 器 可 以 通过 收集 的 相关 数据 ， 计 算出 在 系统 的 生存 时 间 内 系统 
稳定 性 图 表 及 稳定 性 指数 ， 管 理 员 通 过 查看 相应 的 稳定 性 历史 记录 ， 可 以 及 时 了 解 可 能 影响 当前 计算 机 安 
全 的 潜在 风险 ， 提 高 系统 可 靠 性 。 

(D 查看 本 地 系统 可 靠 性 

依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “性 能 和 可 靠 性 监视 器 ”命令 ， 打 开 “ 可 靠 性 和 性 能 监视 器 ” 窗 
口 ， 依 次 展开 “监视 工具 ”一 “可 靠 性 监视 器 ”， 显 示 如 图 9-51 所 示 的 “可 靠 性 监视 器 ” 窗 格 。 


II [i 
| sn 
时 ee 


[uMBus Enumerator ”|50600118000 | 状 克 这 当 | 惑 |2008/5/26 | 


图 9-51 “可 靠 性 监视 器 ” 窗 格 


“可 靠 性 监视 器 ”主要 包括 “系统 稳定 性 图 表 ” 和 “系统 稳定 性 报告 ”两 部 分 。 
根据 系统 生存 时 间 内 收集 的 数据 ， 系 统 稳定 性 图 表 中 的 每 个 日 期 都 有 一 个 显示 当天 系统 稳定 性 指数 分 
级 的 图 形 点 。 系 统 稳定 性 指数 是 一 个 从 1( 最 不 稳定 ) 到 10( 最 稳定 ] 的 数字 ， 是 从 滚动 的 历史 时 段 内 所 看 到 
的 特定 故障 的 数量 衍生 而 来 的 权 值 。 在 “系统 稳定 性 图 表 ” 中 选中 某 个 图 形 点 ， 即 可 在 “系统 稳定 性 报告 
中 查看 对 应 的 可 靠 性 事件 详细 描述 信息 ， 如 软件 安装 或 卸载 等 。 
(2] 启用 可 靠 性 监视 器 的 数据 收集 
Windows 可 靠 性 监视 器 使 用 由 RACAgent 计划 任务 提供 的 数据 ， 系 统 安装 完成 后 ， 可 靠 性 监视 器 即 可 
开始 实时 监控 系统 稳定 性 ， 并 针对 特定 事件 创建 历史 记录 。 默 认 情 况 下 ，RACAgent 计划 任务 在 操作 系统 安 
装 后 已 经 自动 运行 。 如 果 已 禁用 ， 则 必须 从 Microsoft 管理 控制 台中 的 “任务 计划 程序 ”管理 单元 手动 启动 
并 配置 该 任务 。 操 作 步 骤 如 下 。 
@ 以 管理 员 账户 登录 系统 ， 依 次 单 击 “开始 ”一 “管理 工具 ”一 “任务 计划 程序 ”命令 ， 打 开 “ 任 
务 计 划 程序 ”窗口 。 在 导航 栏 中 依次 展开 “任务 计划 程序 库 ” 一 Microsoft 一 Windows 一 RAC， 如 
图 9-52 所 示 。 
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© 注意 : 默认 情况 下 ，RACAgent 计划 任务 是 隐藏 的 。 操 作 之 前 ， 首 先 选 中 RAC， 然 后 单 击 “ 查 看 ”并 选 
择 下 拉 莱 单 中 的 “显示 隐藏 的 任务 ” 即 可 。 


图 9-52 “任务 计划 程序 ”窗口 


@ 选中 RACAgent 任务 ， 单 击 “ 操 作 ” 一 “启用 ”命令 ， 即 可 重新 启用 该 任务 。 如 果 选 择 “ 操 作 ” 
的 菜单 中 “属性 ”命令 ， 即 可 查看 或 编辑 RACAgent 任务 的 相关 设置 。 默 认 显示 如 图 9-53 所 示 的 
“常规 ”选项 卡 ， 取 消 选 中 “隐藏 ” 复 选 框 即 可 取消 RACAgent 任务 的 隐藏 属性 。 


图 9-53 “常规 ”选项 卡 


图 ”其 他 选项 的 配置 与 事件 查看 器 中 事件 附加 任务 计划 程序 的 配置 相同 ， 此 处 不 复 袭 述 。 设 置 完 成 之 
后 ， 单 击 “ 确 定 ”按钮 保存 配置 即 可 。 


9.3.2 ”数据 收集 器 集 


数据 收集 器 集 是 Windows 可 靠 性 和 性 能 监视 器 中 性 能 监视 和 报告 的 功能 模块 , 它 将 多 个 数据 收集 点 组 
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织 成 可 用 于 查看 或 记录 性 能 的 单个 组 件 。 数 据 收 集 器 集 是 数据 收集 器 的 集合 ， 而 数据 收集 器 是 各 种 计数 器 
的 集合 。 数 据 收 集 器 收集 到 的 数据 信息 将 自动 记录 到 日 志 中 , 管理 员 既 可 以 在 Windows 性 能 监视 器 中 查看 ， 
也 可 以 选择 通过 其 他 非 Microsoft 应 用 程序 查看 。 


1. 创建 数据 收集 器 集 


Windows 数据 收集 器 集中 包括 3 种 类 型 的 数据 收集 器 : 性 能 计数 器 、 事 件 跟踪 数据 、 系 统 配 置信 息 ( 注 
册 表 项 值 ]。 管 理 员 可 以 根据 需要 通过 不 同 的 方式 ， 创 建 所 需 类 型 的 数据 收集 器 集 。 

(CD 通过 性 能 监视 器 创建 数据 收集 器 集 

Windows 性 能 监视 器 不 仅 可 以 帮助 管理 员 监 控 某 些 系统 功能 或 组 件 的 实时 工作 情况 ， 还 可 以 用 来 对 数 
据 收集 器 产生 的 历史 数据 进行 分 析 和 浏览 ， 因 此 在 “性 能 监视 器 ”工具 中 同样 可 以 创建 收据 收集 器 ， 创 建 
完成 的 数据 收集 器 集 将 显示 在 “数据 收集 器 集 ” 一 “用 户 定义 ”目录 中 。 

Q@ 在 “性 能 和 可 靠 性 监视 器 ”窗口 中 ， 右 击 “ 性 能 监视 器 ”并 选择 快捷 菜单 中 的 “新 建 ”一 “数据 
收集 器 集 ” 命令 ,打开 如 图 9-54 所 示 的 “创建 新 的 数据 收集 器 集 ” 对 话 框 。 在 “名 称 ” 文 本 框 中 ， 
输入 数据 收集 器 集 的 名 称 。 

@ 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 9-55 所 示 的 “您 希望 将 数据 保存 在 什么 位 置 ” 界面， 建议 使 用 系 
统 默认 的 保存 目录 ， 以 便 在 “性 能 监视 器 ”中 可 以 直接 查找 和 调用 历史 记录 。 
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图 9-54 “创建 新 的 数据 收集 器 集 ” 对 话 框 图 9-55 “您 希望 将 数据 保存 在 什么 位 置 ” 界面 


图 单 击 “ 下 一 步 ” 按钮， 显示 如 图 9-56 所 示 的 “是 否 创建 数据 收集 器 集 ” 界 面 ， 系 统 默认 选择 “ 保 
存 并 关闭 ” 单 选 按钮 ， 即 创建 完成 后 并 不 立即 启动 。 本 例 中 选择 “立即 启动 该 数据 收集 器 集 ” 单 
选 按钮 ， 以 便 立 即 开始 监控 。 


提示 : 单 击 “ 更 改 ”按钮 可 以 更 改 允许 启动 该 数据 收集 器 集 的 用 户 账户 。 如 果 当 前 用 户 账户 是 Performance 
Log Users 组 的 成 员 ， 则 必须 将 创建 的 数据 收集 器 集 配置 为 在 其 凭据 下 运行 。 


图 单 击 “ 完 成 ”按钮 ， 关 闭 “ 创 建新 的 数据 收集 器 集 ” 向 导 。 在 “可 靠 性 和 性 能 监视 器 ”窗口 中 ， 
展开 “数据 收集 器 集 ” 一 “用 户 定义 ”项 目 ， 即 可 看 到 创建 成 功 的 数据 收集 器 集 ， 如 图 9-57 所 示 。 


(2] 通过 模板 创建 数据 收集 器 集 
Windows Vista 和 Windows Server 2008 系统 中 ,默认 已 经 包含 一 些 集中 于 常规 系统 诊断 信息 或 者 收集 
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特定 于 服务 器 角色 或 应 用 程序 的 性 能 数据 的 模板 。 用 户 可 以 借助 这 些 模板 快速 创建 所 需 的 数据 收集 器 集 。 
此 外 ， 还 可 以 导入 在 其 他 计算 机 上 创建 的 模板 ， 或 者 将 自己 创建 的 数据 收集 器 集 保 存 为 模板 ， 以 便 下 次 可 
以 直接 应 用 。 


图 9-56 


“是 否 创建 数据 收集 器 集 ” 界 面 


本 3yatm perfmmases 拆 统 | 
事件 滑 跟 会 基 


日 呈 鳞 


图 9-57 创建 成 功 的 数据 收集 器 集 


@ 在 “可 靠 性 和 性 能 监视 器 ”窗口 中 ， 依 次 展开 “可 靠 性 和 性 能 ”一 “数据 收集 器 集 ” 一 “用 户 定 
义 ”， 右 击 “ 用 户 定 义 ”并 选择 快捷 菜单 中 的 “新 建 ”一 “数据 收集 器 集 ” 命 令 ， 启 动 创建 新 数 
据 收集 器 集 向 导 ， 如 图 9-58 所 示 。 在 “名 称 ” 文 本 框 中 输入 数据 收集 器 集 的 名 称 ， 并 选择 “从 模 
板 创建 ” 单 选 按钮 。 

加 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 9-59 所 示 的 “您 想 使 用 哪个 模板 ”界面 。 在 “模板 数据 收集 器 集 ” 
列表 框 中 选择 Active Directory Diagnostics 即 可 。 除 此 之 外 ,还 可 以 单 击 “ 浏 览 ” 按 钮 添加 来 自 本 
地 计算 机 或 远程 计算 机 的 模板 。 
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人 全 Me 的 和 所 收集 天 蘑 。 © 9 esasgsss. 
您 希望 以 何 神 方式 创建 这 一 森 的 效 据 收集 性 集 ? 
名 称 (MF 
[ae | Aclve 
Directory 相关 的 数据 ， 要 收 笑 移 数据 包括 有 助 于 
固 决 AClive Direclory 性 毕 问 题 的 注册 专项 性 
训 计 数 时 入 夭 池 事件 。 
| 
人 手 二 高 入 (CO) 
如 何 手动 这 树 数 过 收 后 器? 
BE 可 Ed 了 
图 9-58 选择 创建 数据 收集 器 集 的 方式 图 9-59 “您 想 使 用 哪个 模板 ”对 话 框 
图 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 你 希望 将 数据 保存 在 什么 位 置 ” 对 话 框 ， 与 通过 “性 能 监视 器 ” 创 
建 数据 收集 器 集 相 同 ， 保 持 默 认 目 录 即 可 。 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 9-60 所 示 的 “是 否 人 


建 数据 收集 器 集 ” 界 面 。 与 前 面 不 同 的 是 ， 在 这 里 可 以 直接 选择 “打开 该 数据 收集 器 集 的 属性 ” 
单 选 按钮 ， 关 闭 向 导 后 立即 编辑 数据 收集 器 集 属性 。 

单 击 “ 完 成 ”按钮 ， 打 开 如 图 9-61 所 示 的 “Active Directory 状态 属性 ”对 话 框 。 管 理 员 可 以 根 
据 需 要 设置 数据 收集 器 集 日 志 记 录 保 存 路 径 、 文 件 名 格式 、NTFS 访问 控制 等 。 


-各 |B 录 | 安全 | 计 节 | 祖 亲 件 | 条 | 


El 
Konyaote 


圭一 一 0)... 
Ts | Mo | nm | 
图 9-60 “是 否 创建 数据 收集 器 集 ”界面 9-61 “Active Directory 状态 属性 ”对 话 框 


回 单 击 “ 确 定 ”按钮 保存 设置 并 关闭 对 话 框 , 此 时 创建 的 数据 收集 器 集 处 于 “停止 "状态 , 右 击 “Active 

Directory 状态 ”并 选择 快捷 菜单 中 的 “开始 ”命令 即 可 启动 。 基 于 系统 模板 创建 的 数据 收集 器 集 
中 默认 已 经 提供 了 多 组 相关 的 计数 器 ， 但 是 管理 员 也 可 以 根据 需要 增 减 ， 如 图 9-62 所 示 。 

(3】 手动 创建 数据 收集 器 集 

手动 创建 数据 收集 器 集 同样 需要 借助 创建 数据 收集 器 集 向 导 完成 , 与 通过 模板 创建 数据 收集 器 集 类 似 ， 
不 同 的 是 管理 员 可 以 根据 自己 的 需要 定制 适当 的 数据 类 型 收集 器 。 主 要 操作 步骤 如 下 。 

@ 在 “可 靠 性 和 性 能 监视 器 ”窗口 中 ， 依 次 展开 “可 靠 性 和 性 能 ”一 “数据 收集 器 集 ” 一 “用 户 定 

义 ”， 右 击 “ 用 户 定义 ”并 选择 快捷 菜单 中 的 “新 建 ” 一 “数据 收集 器 集 ” 命 令 ， 启 动 创建 新 数 
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据 收集 器 集 向 导 ， 如 图 9-63 所 示 。 在 “名 称 ” 文 本 框 中 输入 数据 收集 器 集 的 名 称 ， 并 选择 “手动 
创建 ” 单 选 按钮 。 


图 9-62 编辑 数据 收集 器 集中 的 收集 器 和 计数 器 


加 单 击 “ 下 一 步 ”按钮 ,显示 如 图 9-64 所 示 的 “您 希望 包括 何 种 类 型 的 数据 ”界面 。 选 择 “ 创 建 数 
据 日 志 ” 单 选 按钮 ， 并 选中 “事件 跟踪 数据 ” 复 选 框 。 

ma ”性 能 计数 器 。 提 供 有 关系 统 性 能 的 度量 数据 。 

”事件 跟踪 数据 。 提 供 有 关 活 动 和 系统 事件 的 信息 。 

”系统 配置 信息 。 使 用 户 可 以 记录 注册 表 项 的 状态 及 对 其 进行 的 更 改 。 
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图 9-63 手动 创建 数据 收集 器 集 图 9-64 “您 希望 包括 何 种 类 型 的 数据 ”界面 


提示 : 选择 “性 能 计数 器 警报 ” 单 选 按钮 ， 即 可 创建 相关 系统 事件 的 警报 ， 选 择 提供 程序 后 设 定 相应 的 
临界 值 即 可 - 
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图 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 您 希望 启用 哪个 事件 跟踪 提供 程序 ”对 话 框 ， 单 击 “ 添 加 ”按钮 打 
开 “ 事 件 跟踪 提供 程序 ”对 话 框 ， 选 中 Microsoft-Windows-Firewall 程序 ， 如 图 9-65 所 示 。 


图 9-65 “事件 跟踪 提供 程序 ”对 话 框 


图 单 击 “ 确 定 ”按钮 将 所 选 程序 添加 到 “提供 程序 ”列表 中 ， 如 图 9-66 所 示 。 在 “属性 ”列表 中 ， 
选择 属性 后 单 击 “编辑 ”按钮 即 可 修改 相应 的 值 。 

回 单 击 “ 下 一 步 ” 按钮 ， 设 置 保存 日 志 的 目录 、 启 动 方式 等 信息 。 与 通过 其 他 方式 创建 数据 收集 器 
集 的 操作 完全 相同 ， 此 处 不 复 效 述 。 


2. 创建 数据 收集 器 


在 导航 栏 中 ， 右 击 已 创建 的 数据 收集 器 集 ， 并 选择 快捷 菜单 中 的 “新 建 ” 一 “数据 收集 器 ”命令 ， 打 
开 如 图 9-67 所 示 的 “您 希望 创建 何 种 类 型 的 数据 收集 程序 ”界面 ， 在 “名 称 ” 文 本 框 中 输入 数据 收集 器 的 
名 称 ， 默 认为 “新 的 数据 收集 器 ”。 然 后 选择 希望 创建 的 收集 器 类 型 ， 包 括 性 能 计数 器 数据 收集 程序 、 事 
件 跟踪 数据 收集 程序 、 配 置 数据 收集 程序 和 性 能 计数 器 警报 4 种 。 接 下 来 的 操作 根据 所 选 类 型 的 不 同 ， 可 
能 需要 添加 性 能 计数 器 、 性 能 事件 提供 程序 或 注册 表 项 等 ， 只 需 按照 向 导 提示 逐步 操作 即 可 。 
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图 9-66 “您 希望 启用 哪个 事件 跟踪 提供 程序 ”界面 图 9-67 “您 希望 创建 何 种 类 型 的 数据 收集 程序 ”界面 
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3. 添加 性 能 计数 器 


创建 数据 收集 器 过 程 中 已 经 添加 了 相关 的 性 能 计数 器 ， 数 据 收集 器 运行 过 程 中 ， 管 理 员 可 以 按照 如 下 
操作 步骤 添加 新 的 性 能 计数 器 。 
@ 在 “可 靠 性 和 性 能 监视 器 ”窗口 的 “数据 收集 器 集 ” 目 录 中 ， 展 开 相关 的 数据 收集 器 集 ， 并 双击 
其 中 需要 添加 性 能 计数 器 的 数据 收集 器 ， 如 “监视 磁盘 工作 状态 ”数据 收集 器 集中 的 “系统 监视 
器 日 志 ”， 打 开 如 图 9-68 所 示 的 “系统 监视 器 日 志 属性 ”对 话 框 。 
@ ”在 “性 能 计数 器 ”选项 卡 中 ， 单 击 “ 添 加 ”按钮 打开 如 图 9-69 所 示 的 对 话 框 ， 从 “可 用 计数 器 ” 
列表 中 选择 需要 添加 的 计数 器 ， 并 单 击 “ 添 加 ”按钮 添加 到 右 侧 列表 中 。 


图 9-68 “系统 监视 器 日 志 属性 ”对 话 框 图 9-69 添加 计数 器 
图 单 击 “ 确 定 ” 按 钮 ， 即 可 将 其 添加 到 “性 能 计数 器 ”列表 中 ， 如 图 9-70 所 示 。 


图 9-70 “性 能 计数 器 ”选项 卡 


图 切换 至 如 图 9-71 所 示 的 “文件 ”选项 卡 ， 在 “日 志文 件 名 ”文本 框 中 可 以 重新 输入 新 的 文件 名 ， 
在 “文件 名 格式 ”文本 框 中 单 击 右 侧 按钮 ， 可 以 根据 需要 选择 适当 的 命名 格式 ， 以 便 日 后 可 以 快 
速 、 准 确 查询 所 需 的 日 志 ， 例 如 以 日 志文 件 创 建 的 日 期 、 时 间作 为 文件 名 的 结尾 。 
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图 9-71 “文件 ”选项 卡 
回 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


9.3.3 ”报告 


“报告 ”功能 是 Windows Server 2008 系统 可 靠 性 和 性 能 监视 器 的 新 增 功能 之 一 ， 主 要 用 于 直观 反映 
数据 收集 器 集 的 工作 状态 和 结果 。 默 认 情况 下 ， 所 有 数据 收集 器 集 都 可 以 在 “报告 ”项 目 中 ， 找 到 与 之 对 
应 的 数据 收集 器 集 报告 。 使 用 “报告 ”功能 时 ， 应 注意 如 下 几 个 方面 。 
于 “如 果 数 据 收集 器 集 未 运行 ， 将 没有 可 用 的 报告 。 
于 ”如 果 数据 收集 器 集 正在 运行 ， 则 控制 台 窗 口中 将 显示 有 关 数 据 收集 器 集 被 配置 为 运行 多 长 时 间 的 
信息 ， 无 法 查看 历史 记录 。 
”数据 收集 停止 之 后 ， 生 成 报告 时 会 有 一 段 延迟 。 这 段 时 间 期 间 ， 控 制 台 窗口 将 显示 工作 图 标 。 
ma ” 较 大 的 日 志文 件 将 使 生成 报告 的 时 间 较 长 。 如 果 频 繁 检查 日 志 以 查看 最 新 数据 ， 建 议 使 用 限制 以 
自动 分 段 日 志 。 可 以 使 用 relog 命令 对 长 日 志文 件 进行 分 段 或 合并 多 个 短 日 志文 件 。 
在 “可 靠 性 和 性 能 监视 器 ”窗口 中 ， 展 开 “ 报 告 ”一 “用 户 定义 ”， 即 可 查看 自 定义 的 数据 收集 器 的 
报告 信息 。 事 件 跟踪 数据 和 配置 信息 数据 的 报告 将 以 摘要 方式 显示 ， 如 图 9-72 所 示 。 单 击 摘要 名 称 即 可 显 
示 或 隐藏 相关 详细 信息 。 
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2 
和 hctive Dirsctory 状态 
Yindovs 防火 墙 


2 
已 三 Metiv Dirsetory 状态 


Yindovs 防火 墙 
新 者 据 也 入 回信 


磅 盟 0 上 多 yO 为 每 种 小 于 100 十 后 次 * 加 
nee 


图 9-72 ”摘要 方式 显示 的 报告 
性 能 计数 器 数据 日 志 则 以 曲线 图 方式 显示 ， 如 图 9-73 所 示 。 除 直接 在 “报告 ”窗口 中 查看 相关 日 志 ， 


管理 员 也 可 以 在 “数据 收集 器 集 ” 中 将 性 能 日 志文 件 导出 ， 通 过 性 能 监视 器 浏览 ， 效 果 完 全 相同 。 


图 9-73 ”曲线 图 方式 显示 的 报告 
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数字 证 书 (Digital Certificate) 是 一 种 用 于 计算 机 身份 
认证 的 安全 识别 机 制 ， 是 身份 认证 机 构 在 数字 身份 证 上 
的 一 个 签名 ， 这 一 行为 表示 身份 认证 机 构 已 认定 这 个 持 
证 人 的 有 效 性 。 持 有 者 可 以 凭借 数字 证 书 向 计算 机 系统 
认证 自己 的 身份 ， 从 而 取得 计算 机 或 者 某 项 服务 的 使 用 
权 。 在 获得 数字 证 书后 ， 可 以 将 其 保存 在 电脑 里 ， 也 可 
以 保存 在 IC 卡 或 USB Key 中 , 建议 妥善 保存 , 以 免 泄露 。 


全 关键 词 
数字 证 书 服务 的 安装 
CA 证 书 的 创建 与 安装 
CA 证 书 的 管理 与 应 用 
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10.1 数字 证 书 服务 的 安装 


Windows Server 2008 的 证 书 服务 为 管理 员 提供 了 发 布 、 安 装 和 撤销 数字 证 书 的 能 力 。 默 认 情况 下 ， 
数字 证 书 服务 并 不 是 系统 的 基本 安装 组 件 ， 在 需要 使 用 数字 证 书 时 ， 需 要 手动 安装 数字 证 书 服务 。 


10.1.1 数字 证 书 服务 安装 前 的 准备 


在 开始 安装 证 书 服务 之 前 ， 应 当 首 先 做 好 如 下 工作 。 
于 “必须 建立 一 个 共享 文件 夹 ， 将 权限 设置 为 读 取 ， 并 指定 允许 访问 该 文件 夹 的 用 户 ， 用 于 为 证 书 服 
务 保存 Certificate Authority 证 书 和 各 种 配置 文件 ， 以 便 客户 能 够 通过 网 络 访问 和 安装 CA 证 书 。 


© 注意 : 该 共享 目录 必须 保存 在 安装 了 证 书 服务 的 本 地 计算 机 上 . 


ms 若 欲 创建 企业 根 CA 或 企业 从 属 CA， 应 当 首先 配置 好 活动 目录 (Active Directory)。 若 欲 创建 独立 
根 CA 或 独立 从 属 根 CA， 则 无 需 配 置 Active Directory。 


10.1.2 ”数字 证 书 服务 的 安装 


Windows Server 2008 支持 两 种 证 书 服务 ， 分 别 是 用 于 企业 内 部 的 企业 证 书 服务 器 (企业 CA) 和 用 于 企 
业 或 Internet 网 络 中 的 独立 的 证 书 服务 器 (独立 CA]。 企业 CA 需要 Windows Server 2008 活动 目录 的 支持 ， 
而 独立 CA 则 可 以 安装 在 任何 独立 的 Windows Server 2008 计算 机 中 。 

1. 企业 CA 的 安装 

证 书 服务 作为 Windows Server 2008 的 内 置 组 件 ， 默 认 情况 下 并 没有 安装 。 由 于 企业 证 书 服务 需要 活 
动 目录 的 支持 ， 因 此 ， 在 安装 企业 证 书 服务 时 必须 先 安装 域 服务 。 

@ 运行 “添加 角色 向 导 ”， 在 如 图 10-1 所 示 的 “选择 服务 器 角色 ”界面 中 ， 在 “角色 ”列表 框 中 选 

中 “Active Directory 证 书 服务 ” 复 选 框 。 


10-1 “选择 服务 器 角色 ”界面 
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回 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 10-2 所 示 的 “Active Directory 证 书 服务 简介 ”界面 ， 其 中 显示 
了 证 书 服务 的 简介 及 注意 事项 。 


EST 


Active Directory 证 书 服务 简介 


图 10-2 “Active Directory 证 书 服务 简介 ”界面 


图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 10-3 所 示 的 “选择 角色 服务 ”界面 。 选 择 为 Active Directory 证 
书 服务 安装 的 角色 服务 ， 默 认 选中 “证 书 颁 发 机 构 ” 复 选 框 。 
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图 10-3 “选择 角色 服务 ”界面 


图 如 果 要 启用 证 书 Web 注册 功能 ， 可 同时 选中 “证 书 颁发 机 构 Web 注册 ” 复 选 框 。 显 示 如 图 10-4 
所 示 的 对 话 框 ， 添 加 Web 服务 器 功能 。 


© 注意 ; 只 有 Windows Server 2008 企业 版 和 数据 中 心 版 支持 Web 注册 功能 ， 标 准 版 和 Web 版 则 不 支持 。 
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回 单 击 “ 添 加 必需 的 角色 服务 ”按钮 ， 显 示 如 图 10-5 所 示 的 “指定 安装 类 型 ”界面 。 选 择 “企业 ” 
单 选 按钮 ， 用 来 安装 企业 证 书 。 


,是否 添加 证 书信 发 愉 爸 rch 注册 所 震 的 角色 服务 和 功能 ? 
1 


图 10-4 添加 Web 功能 图 10-5 “指定 安装 类 型 ” 界面 


单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 10-6 所 示 的 “指定 CA 类 型 ”界面 。 由 于 是 第 一 次 安装 ， 并 且 是 
唯一 的 证 书 颁发 机 构 ， 因 此 ， 选 择 “ 根 CA” 单 选 按钮 。 


图 10-6 “指定 CA 类 型 ”界面 


@ 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 10-7 所 示 的 “设置 私 钥 ” 界面。 由 于 现在 是 第 一 次 安装 证 书 服务 ， 
且 没有 私 钥 ， 因 此 ， 选 择 “ 新 建 私 铜 ” 单 选 按钮 。 

单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 10-8 所 示 的 “为 CA 配置 加 密 ” 界 面 。 在 “选择 加 密 服务 提供 程 
序 ” 下 拉 列 表 框 中 ， 选 择 加 密 程序 ， 在 “ 密 钥 字 符 长 度 ” 下 拉 列 表 框 中 选择 密 钥 长 度 ， 在 “选择 
此 CA 颁发 的 签名 证 书 的 哈 希 算法 ”列表 框 中 ， 选 择 要 使 用 的 哈 希 算法 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-9 所 示 的 “配置 CA 名 称 ” 界 面 ， 在 “此 CA 的 公用 名 称 ” 文 
本 框 中 设置 此 证 书 的 公用 名 称 。 
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图 10-7 “设置 私 铀 ”界面 


图 10-8 “为 CA 配置 加 密 ” 界 面 


图 10-9 “配置 CA 名称” 界面 
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图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 10-10 所 示 的 “设置 有 效 期 ”界面 。 设 置 该 证 书 的 有 效 期 ， 默 认 
为 5 年 。 


图 10-10 “设置 有 效 期 ”界面 
四 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 10-11 所 示 的 “配置 证 书 数据 库 ” 界 面 ， 用 来 设置 证 书 数据 库 和 


数据 库 日 志 的 位 置 。 


Tr 


图 10-11 “配置 证 书 数据 库 ” 界 面 


名 ”由 于 要 同时 安装 “证 书 颁发 机 构 Web 注册 ”功能 ， 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-12 所 示 的 
“Web 服务 器 (IIS)” 界 面 ， 其 中 显示 了 IIS 的 简介 信息 。 

四 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-13 所 示 的 “选择 角色 服务 ”界面 。 选 择 欲 安装 的 IIS 组 件 ， 
通常 保持 默认 设置 即 可 。 

四 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-14 所 示 的 “确认 安装 选择 ”界面 。 其 中 显示 欲 安装 的 角色 ; 
同时 提示 用 户 当 安装 了 证 书 服务 以 后 ， 将 无 法 更 改 计算 机 的 名 称 和 域 设 置 。 
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图 10-12 “Web 服务 器 (IIS)” 界 面 
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图 10-13 “选择 角色 服务 ”界面 


图 10-14 “确认 安装 选择 ”界面 


L377 


四 we 


加 ” 单 击 “ 安 装 ”按钮 ， 开 始 安装 证 书 服务 及 相关 组 件 。 安 装 完成 以 后 ， 显 示 如 图 10-15 所 示 的 “ 安 


图 10-15 “安装 结果 ”界面 


罗 单 击 “关闭 ”按钮 ， 证 书 服务 安装 完成 。 
打开 “服务 器 管理 器 ”窗口 ， 依 次 展开 “角色 ”一 “Active Directory 证 书 服务 ”选项 ， 即 可 查看 所 安 
装 的 证 书 服务 ， 如 图 10-16 所 示 。 
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图 10-16 证 书 服务 


2. 独立 根 CA 的 安装 


如 果 网 络 内 尚未 安装 域 服务 ， 可 以 将 证 书 服务 安装 在 独立 服务 器 上 ， 从 而 实现 证 书 的 颁发 与 管理 。 不 
过 ， 由 于 独立 根 CA 不 需要 Active Directory， 因 此 ， 只 能 使 用 Web 方式 注册 证 书 ， 无 法 使 用 “证 书 申请 向 
导 ”， 而 且 所 申请 的 证 书 必 须 由 管理 员 颁 发 。 
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Q@ ”以 管理 员 用 户 身份 登录 到 服务 器 ， 运 行 “ 添 加 角色 向 导 ”， 在 “选择 服务 器 角色 ”对 话 框 中 选中 
“Active Directory 证 书 服务 ” 复 选 框 。 

@ 在 “选择 角色 服务 ”界面 中 ， 同 时 选中 “证 书 颁发 机 构 ” 和 “证 书 颁发 机 构 Web 注册 ” 复 选 框 ， 
以 启用 Web 注册 功能 ， 如 图 10-17 所 示 。 


ITTEEG 


图 10-17 “选择 角色 服务 ”界面 


@ 在 “指定 安装 类 型 ”界面 中 ， 选 择 “ 独 立 ” 单 选 按钮 ， 如 图 10-18 所 示 。 由 于 此 服务 器 不 是 域 控 
制 器 ， 且 未 加 入 域 ， 因 此 ，“ 企 业 ” 单 选 按钮 为 灰色 不 可 选 状 态 。 


图 10-18 “指定 安装 类 型 ”界面 
@ ”其 他 操作 与 安装 企业 CA 时 完全 相同 ， 这 里 不 再 袭 述 。 
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10.2 ”CA 证 书 的 创建 与 安装 


证 书 服务 器 安装 完成 后 ， 企 业 中 的 用 户 都 可 以 申请 证 书 ， 无 论 是 域 成 员 用 户 ， 还 是 非 域 成 员 ， 都 可 以 
向 证 书 服务 器 申请 证 书 。 申 请 证 书 可 以 使 用 Web 方式 或 “证 书 申请 向 导 ” 两 种 方式 , 前 者 适用 于 所 有 用 户 ， 
而 后 者 则 需要 用 户 加 入 域 才能 使 用 。 


10.2.1 ”服务 端 CA 证 书 的 创建 


服务 端 CA 证 书 的 申请 可 以 通过 Web 方式 和 “证 书 申请 向 导 ” 方 式 进行 ， 对 于 没有 加 入 域 的 计算 机 则 
可 以 通过 Web 方式 进行 数字 证 书 的 申请 ， 对 于 加 入 域 的 计算 机 可 以 通过 Web 方式 和 “证 书 申请 向 导 ” 两 
种 方式 申请 数字 证 书 。 
1. 使 用 Web 方式 申请 与 安装 证 书 
如 果 在 安装 证 书 服务 器 的 同时 也 安装 了 “证 书 颁 发 机 构 Web 注册 ”， 那 么 ， 就 可 以 通过 Web 方式 来 
申请 证 书 ， 而 且 不 需要 加 入 域 ， 但 需要 配置 信任 证 书 服务 器 才能 安装 证 书 。 而 对 于 域 用 户 ， 则 无 须 配置 证 
书 服务 信任 即 可 安装 证 书 。 申 请 证 书 的 客户 端 可 以 使 用 Windows 2000/XP/Vista 操作 系统 ,下面 以 Windows 
Vista 系统 为 例 进行 介绍 。 
(GD 配置 正 浏 览 器 
@， 使 用 管理 员 用 户 登 录 Windows Vista， 首 先 需 要 使 正 浏览 器 运行 ActiveX 控件 。 打开 下 浏览 器 ， 
单 击 “ 工 具 ” 菜 单 中 的 “Internet 选项 ”命令 ， 切 换 到 “安全 ”选项 卡 ， 显 示 如 图 10-19 所 示 。 
回 单 击 “ 自 定义 级 别 ” 按 钮 ， 显 示 “ 安 全 设置 - Internet 区 域 ” 对 话 框 ， 将 “对 未 标记 为 可 安全 执 
行 脚本 的 ActiveX 控件 初始 化 并 执行 脚本 (不 安全 )” 和 “人 允许 运行 以 前 未 使 用 的 ActiveX 控件 而 不 
提示 


E27 下 [FE 
过 和 要 审改 芭 履 穴 主因” 


地。 Ii 。 


Be te 
区 直列: 中 到 高 


“i, 


司 启 用 佣 护 恒基 于 生 新 


10-19 “Internet 选项 ”对 话 框 10-20 “安全 设置 - Internet 区 域 ” 对 话 框 


© 注意 : 如 果 未 在 下 浏览 器 的 安全 设置 中 局 用 这 两 项 ， 则 在 申请 证 书 时 就 会 显示 如 图 10-21 所 示 的 提示 框 。 
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回 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 即 可 。 

(2) 信任 证 书 颁发 机 构 

如 果 客 户 端 计算 机 没有 加 入 域 , 则 必须 配置 为 信任 证 书 颁 发 机 构 ， 才 能 安装 从 证 书 服务 器 申请 的 证 书 ; 
否则 ， 将 无 法 安装 。 

@ 打开 Web 浏览 器 ， 在 地 址 栏 中 输入 证 书 服务 器 的 证 书 申请 地 址 ， 格 式 为 http:// 证 书 服务 器 的 IP 


地 址 /certsrv,， 例如 “http://192.168.1.10/certsrv”， 按 Enter 键 确 认 ， 显 示 如 图 10-22 所 示 的 连 
接 到 登录 框 。 


正 让 过 搞 到 la2 168.1.10+ 

用 PP 名 四: [ET E 

BD): seeeeee0 ] 
站 记 


CE J mh) 


A HE sme eh ess rrrs eo 
证 


Eo) 


97160 i @ memet | Pt ER CT 
图 10-21 提示 框 图 10-22 登录 框 


@ 在 “用 户 名 ”下 表 列 表 框 和 “密码 ”文本 框 中 ， 分 别 输入 具有 登录 证 书 服务 器 权限 的 用 户 名 和 密 
个 , 然后 单 击 “确定” 按钮 ， 显示 如 图 10-23 所 示 的 “Microsoft Active Directory 证 书 服务 ”窗口 。 


SS [ome 


使 用 此 网 站 为 你 的 Web 浏览 回 、 电 子 部 件 客户 答 或 其 他 程序 申请 证 蔬 。 通 过 使 用 证 书 ， 您 
Fe 堆 名 并 加 密 部 件 ， 并 根据 您 申 刘 
型 涩 行 琶 他 安全 任务 


您 也 可 以 使 用 此 网 站 下 载 证 书 便 发 机 构 (CAJ 证 书 、 证 书 链 ,或 证 书局 销 列 表 [CRL) ， 或 者 查看 
挂 起 申请 的 状 坟 . 


有 关 Active Directony 证 书 李 务 的 主妇 位 中， 请 参 尊 Active Directony 证 世子 文 村 


图 10-23 “Microsoft Active Directory 证 书 服务 ”窗口 


@ 单 击 “ 下 载 CA 证书、 证 书 链 或 CRL” 超 级 链接 ， 显 示 如 图 10-24 所 示 的 “下 载 CA 证 书 、 证 书 链 
或 CRL” 窗 口 ， 用 来 下 载 证 书 或 证 书 链 。 
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@@ 单 击 “ 下 载 CA 证 书 ”链接 ， 显 示 如 图 10-25 所 示 的 “文件 下 载 ” 对 话 框 。 单 击 “ 保 存 ” 按 钮 ， 
将 该 证 书 保存 到 本 地 计算 机 中 。 


|&] http://192.168.1.10/certsrwcertcarcasp EE Pp- 
| 二 [+ 全 "日" 委 "OIRO 


下 载 CA 证 蔬 、 证 书 苗 王 CRL 
若 要 信任 从 该 证 书 颁发 机 构 领 发 的 证 书 ， 请 安装 此 CA 证 书 链 。 
要 下 载 一 个 CA 证 蔬 、 证 书 通 哗 CRL ,选择 证 书 和 编码 方法 - 


Cai 

人 

DER 
me AM: 192168.L10 

TR AS 

TR CA EB ED EREED CD 

人 园 打开 此 夹 文件 前 局 是 而 晤 以) 

局 埠 吉 放生 

E33 EY TE ES 入 


图 10-24 “下 载 CA 证 书 、 证 书 链 或 CRL” 窗 口 图 10-25 下载 证 书 链 


回 ”证书 下 载 完 成 以 后 , 在 Windows 资源 管理 器 中 选择 所 下 载 的 证 书 链 文件 , 右 击 并 选择 快捷 菜单 中 
的 “安装 证 书 ”命令 ， 运 行 “ 证 书 导 入 向 导 ” 对 话 框 ， 如 图 10-26 所 示 。 
单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-27 所 示 的 “证 书 存储 ”界面 ， 选 择 保存 证 书 的 系统 区 域 。 
Es | MEE 
4 计 恒 i 和 avs 本 以 自动 和 证 和 入 ,或 你 可 以 并 下 忆 相 寂 一 个 位 办。 | 
DR | :Eee 
| 


证 书 存 计 


要 夫 续 ,请 十 “下 一步 ”， ELT 


Es EFS ma EE-SL EEC | 
Emma _ my me ne 


图 10-26 “证 书 导入 向 导 ” 对 话 框 图 10-27 “证 书 存储 ”界面 


@ 选择 “将 所 有 的 证 书 放 入 下 列 存储 ” 单 选 按钮 ， 并 单 击 “ 浏 览 ” 
按钮 ， 显 示 如 图 10-28 所 示 的 “选择 证 书 存储 ”对 话 框 。 选 择 
“受信 任 的 根 证 书 颁 发 机 构 ” 选 项 ， 然 后 单 击 “ 确 定 ”按钮 。 


选择 要 使 用 的 证 书 存 贿 忆 )。 


单 击 “ 下 一 步 ” 按钮， 显示 如 图 10-29 所 示 的 “正在 完成 证 书 
导入 向 导 ” 界 面 。 三 站 各 全 全 
@” 单 而 “完成 ”按钮 ， 显 示 如 图 10-30 所 示 的 “安全 性 警告 "对 | ne 


话 框 ， 要 求 确认 是 否 安装 此 证 书 。 CD Ca 
单 击 “ 是 ”按钮 ， 显 示 如 图 10-31 所 示 的 提示 框 ， 提 示 证 书 导 
10-28 “选择 证 书 存储 ”对 话 框 
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入 成 功 。 此 时 ， 即 可 开始 颁发 并 安装 证 书 。 


二 


Windows 不 确证 书 是 可 来 丰 coolpen -LXH-CA"， 您 应 沪 与 


3 ha ATFE6936 C9255443 anF7o60F F5136A5D 38F9F5a8 
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图 10-29 “正在 完成 证 书 导入 向 导 ” 界 面 图 10-30 “安全 性 警告 ”对 话 框 


四 单 击 “ 确 定 ”按钮 ， 保 存 并 退出 。 

(3] 申请 证 书 

@ 登录 到 “Active Directory 证 书 服务 ”窗口 ， 在 “欢迎 使 用 ”窗口 中 单 击 “ 申 请 证 书 ” 超 级 链接 ， 
显示 如 图 10-32 所 示 的 “申请 一 个 证 书 ” 界 面 。 


图 10-31 证 书 导 入 成 功 图 10-32 “申请 一 个 证 书 ” 界 面 


回 单 击 “ 用 户 证 书 ” 链 接 ， 显 示 如 图 10-33 所 示 的 “用 户 证 书 - 识别 信息 ”界面 。 
图 单 击 “ 提 交 ” 按 钮 ， 即 可 向 证 书 服务 器 申请 证 书 ， 完 成 后 显示 如 图 10-34 所 示 的 “证 书 已 颁发 ” 
界面 ， 提 示 所 申请 的 证 书 已 颁发 。 

@ 单 击 “ 安 装 此 证 书 ” 链 接 ， 显 示 如 图 10-35 所 示 的 “证 书 已 安装 ”界面 ， 提 示 证 书 已 经 安装 。 

2. 使 用 “证 书 申请 向 导 ” 申 请 证 书 

要 使 用 “证 书 申请 向 导 ” 向 企业 根 CA 申请 证 书 ， 客 户 端 计算 机 必须 先 加 入 域 ， 并 且 使 用 域 用 户 登录 
到 域 。 这 里 以 Windows Vista 为 例 ， 介 绍 如 何 申请 证 书 。 

@ ”使 用 域 用 户 账户 登录 到 Windows Vista 系统 。 
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图 10-33 “用 户 证 书 - 识别 信息 ”界面 图 10-34 “证 书 已 颁发 ”界面 


图 10-35 “证 书 已 安装 ”界面 


@ 打开 “开始 ”菜单 ， 在 “开始 搜索 ”文本 框 中 输入 “mmc” 命 令 ， 按 Enter 键 确认 ， 打 开 “ 控 制 
台 1” 窗 口 ， 如 图 10-36 所 示 。 


局 文件 介 ” 接 作 (A) 理 者 Yj 冰雪 天 (0) 要 DD 和 协 (t) 
“中 | 辐 | :16 同 


RE E33 


图 10-36 “控制 台 1” 窗 口 
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图 单 击 “ 文 件 ” 菜 单 中 的 “添加 /删除 管理 单元 ”选项 ， 显示 “添加 或 删除 管理 单元 ”对 话 框 。 在 “可 
用 的 管理 单元 ”列表 框 中 选择 “证 书 ” 选 项 ， 单 击 “ 添 加 ”按钮 ， 添 加 到 右 侧 “ 所 选 管理 单元 ” 
列表 框 中 ， 如 图 10-37 所 示 。 


图 10-37 “添加 或 删除 管理 单元 ”对 话 框 
图 单 击 “ 确 定 ” 按 钮 ， 将 证 书 管理 单元 添加 到 控制 台中 ， 如 图 10-38 所 示 。 


局 文件 委 作 (要 者 M 履 吉 天 (0) 吾 DOMD。 吾 坊 (9 | 
中 中 | 十 园 口 [1E 避 | 日 园 一 一 一 一 -一 
i Bd 作 

画 4A 册 抽 和 中 没有 可 里 9 肌 晶 ， 


图 10-38 “证 书 ” 控 制 台 


回 展开 “证 书 - 当前 用 户 ”， 选择 “个 人 ” 右 击 ， 选 择 快捷 菜单 中 的 “所 有 任务 ”一 “申请 新 证 书 ” 
命令 ， 启 动 “证 书 注册 ”向 导 ， 显 示 如 图 10-39 所 示 的 对 话 杠 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-40 所 示 的 “申请 证 书 ”界面 ， 在 列表 框 中 选择 欲 申 请 的 证 书 
类 型 ， 单 击 “ 详 细 信息 ”按钮 ， 可 以 查看 该 证 书 的 详细 信息 。 默 认 情况 下 ， 只 列 出 了 可 用 的 证 书 
模板 。 

@@“ 单 击 “注册 ”按钮 ， 系 统 会 向 证 书 服务 器 申请 注册 并 自动 安装 ， 显 示 如 图 10-41 所 示 的 “证 书 安 
装 结果 ”界面 。 

单 击 “ 完 成 ”按钮 关闭 证 书 注册 向 导 ， 并 返回 控制 台 。 依 次 展开 “证 书 - 当前 用 户 ”一 “个 人 ” 
一 “证 书 ”， 即 可 看 到 已 注册 成 功 的 证 书 ， 如 图 10-42 所 示 。 

至 此 ， 证 书 注册 完成 。 返 回 Windows Server 2008 证 书 服务 器 ， 依 次 单 击 “ 开 始 ”一 “ 管 理工 具 ” 一 
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Certification Authority 命令 ， 打 开 证 书 颁 发 机 构 窗口 。 选 择 “ 和 颁发 的 证 书 ”， 即 可 看 到 所 有 已 颁发 的 证 书 ， 
如 图 10-43 所 示 。 


图 10-39 证 书 注册 向 导 图 10-40 “申请 证 书 ”界面 
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图 10-41 “证 书 安装 结果 ”界面 图 10-42 注册 成 功 的 证 书 


图 10-43 已 颁发 的 证 书 
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10.2.2 ”独立 证 书 服务 的 使 用 


独立 证 书 服务 器 由 于 没有 加 入 域 ， 因 此 ， 不 能 使 用 “证 书 申请 向 导 ” 来 申请 证 书 ， 只 能 以 Web 方式 向 
证 书 服务 器 申请 证 书 。 为 了 证 书 服务 的 安全 ， 当 用 户 申 请 证 书后 并 不 会 立即 安装 ， 必 须 由 管理 员 颁 发 后 才 
能 使 用 。 

1. 申请 证 书 

在 向 服务 器 申请 证 书 时 ， 必 须 先 做 好 如 下 准备 工作 。 

@ 在 下 浏览 器 的 安全 设置 中 , 将 “对 未 标记 为 可 安全 执行 脚本 的 ActiveX 控件 初始 化 并 执行 脚本 (不 

安全 ]” 和 “人 允许 运行 以 前 未 使 用 的 ActiveX 控件 而 不 提示 ” 均 设置 为 “启用 (不 安全 )” 状 态 。 
”下 载 CA 证 书 并 导入 到 客户 端 计算 机 上 的 “受信 任 的 证 书 颁发 机 构 ” 中 ， 使 其 信任 证 书 颁发 机 构 。 
向 独立 服务 器 申请 证 书 的 操作 步骤 如 下 。 


@ 在 正 浏 览 器 中 打开 申请 独立 根 证 书 的 地 址 , 格式 为 http:// 证 书 服务 器 IP 地 址 /certsrv, 显示 如 图 
10-44 所 示 的 证 书 服务 主页 。 

@ 单 击 “ 申 请 证 书 ” 超 级 链接 ， 显 示 如 图 10-45 所 示 的 “申请 一 个 证 书 ” 界 面 。 可 以 直接 申请 Web 
浏览 器 证 书 或 电子 邮件 证 书 ， 也 可 以 提交 高 级 证 书 申请 。 


使 用 此 网 站 为 您 的 Web 六 | 星 器 、 电 子 闻 件 客户 状 或 其他 程序 申请 证 书 。 通 过 使 用 证 书 ,你 
可 以 向 通过 Web 进行 送信 的 用 户 确认 您 的 身份 、 签 名 并 加 密 部 件 ， 并 根据 您 申 访 的 证 书 类 
型 执行 其 他 安全 任务 , 


您 也 可 以 使 用 此 网 站 下 载 证 书 慨 发 机 构 (CA 证书 ， 证 书 链 ,或 证 书 吊销 列表 (CRL) ,或 者 坦 
看 挂 起 申请 的 状态 。 


有 关 Active Directory 证 书 服务 的 样 色 信忠， 请 扫 阅 Active Directory 证 书 县 务 文档 


类 二 个 任务 : 


ET 


图 10-44 ”证 书 服务 主页 图 10-45 “申请 一 个 证 书 ” 界 面 


提示 : 如 果 要 申请 其 他 类 型 的 证 书 ， 可 单 击 “高 级 证 书 申请 ”链接 。 同时， 还 可 以 选择 不 同 的 密 铀 类 型 ， 
如 图 10-46 所 示 。 


@ 这 里 以 申请 电子 邮件 保护 证 书 为 例 。 单 击 “ 电 子 邮件 保护 证 书 ”超级 链接 ， 显 示 如 图 10-47 所 示 
的 “电子 邮件 保护 证 书 - 识别 信息 ”界面 ， 在 其 中 输入 电子 邮件 保护 证 书 的 识别 信息 即 可 。 


器 提示 : 如 果 不 想 使 用 默认 的 密 铀 类 型 ， 可 以 单 击 “更 多 选项 ”链接 ， 显 示 如 图 10-48 所 示 ， 在 “选择 一 个 
加 密 服务 提供 程序 ”下 拉 列 表 框 中 可 选择 不 同 的 密 钥 程 序 。 
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BS erm ti lt a su ie) 
aaa。 


要 完 由 多 的 证 书 ， 在 下 面 的 柏 中 输入 葛 有 的 信息 - 
[一 


图 10-48 选择 不 同 密 钥 类 型 
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@ 单 击 “提交 ”按钮 ， 开 始 向 证 书 服务 器 发 送 请 求 ， 并 显示 如 图 10-49 所 示 的 “证 书 正在 挂 起 ” 界 
面 。 提 示 已 发 出 申请 ， 但 必须 等 待 管理 员 来 颁发 证 书 。 

2. 颁发 证 书 

此 时 ， 在 Windows Server 2008 服务 器 上 ， 需 要 由 管理 员 查 看 证 书 申请 ， 并 颁发 证 书 。 


@ ”登录 到 证 书 服务 器 , 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 Certification Authority 命令 , 打开 certsrv 
窗口 。 在 左 侧 窗 格 中 选择 “ 挂 起 的 申请 ”， 显 示 所 有 提交 的 证 书 申请 ， 如 图 10-50 所 示 。 


[Bomioeremeintam -same | 


全 "日 - 过 "gm 已 Iaa 
3 | 

扬中。 下 提 村 所 宫 。 2008/7/24 1 

一 sl 所作 咸 轨 在 提 x3 接 委 2008/7/z1 1 
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图 10-49 “证 书 正在 挂 起 ”界面 图 10-50” 挂 起 的 申请 
@ ”选择 欲 颁 发 的 证 书 ， 右 击 并 依次 选择 快捷 菜单 中 的 “所 有 任务 ”一 “颁发 ”命令 ， 即 可 颁发 该 证 
书 。 同 时 ， 已 颁发 的 证 书 将 会 自动 转 到 “颁发 的 证 书 ” 窗 口中 ， 如 图 10-51 所 示 。 
此 时 ， 证 书 颁 发 完成 ， 在 客户 端 计算 机 上 就 可 以 安装 或 下 载 证 书 了 。 
3. 客户 端 CA 证 书 的 安装 


@ 在 客户 端 计算 机 上 ， 重 新 打开 证 书 服务 主页 ， 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ”链接 ， 显 示 如 
图 10-52 所 示 的 “查看 挂 起 的 证 书 申请 的 状态 ”界面 ， 其 中 列 出 了 曾经 申请 的 证 书 。 


CA\ 伪 发 的 证 书 ] 


2 err 


图 10-51 颁发 的 证 书 图 10-52 “查看 挂 起 的 证 书 申请 的 状态 ”界面 
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@ 单 击 证 书 名 称 ， 例 如 “电子 邮件 保护 证 书 ”， 显 示 如 图 10-53 所 示 的 “证 书 已 颁发 ”界面 ， 提 示 


该 证 书 已 颁发 。 
@ 单 击 “ 安 装 此 证 书 ” 链 接 ， 显 示 如 图 10-54 所 示 的 “证 书 已 安装 ”界面 ， 即 可 将 该 证 书 安装 在 本 
地 计算 机 上 。 


GO [enuenetish "olx) esr 了 [ee rE | 
次 从 | 区 Mikrosokaweoreqoy- | 售 " 目 "归属 RD 7 全 IAO vr 窗 全 | 鄞 Maoohrmeoeroy- | | 从 "加 ”机 "人 FED IROY 
证 8 去 装 
作 的 新 证 书 已 成 安装 。 
一 Onemet| Pt: 忆 癌 00% - 
图 10-53 “证 书 已 颁发 ”界面 图 10-54 “证 书 已 安装 ”界面 


10.3 ”CA 证 书 的 管理 与 应 用 


在 企业 中 ， 人 员 变 动 是 经 常 发 生 的 事 ， 当 员工 离开 公司 或 调 到 其 他 部 门 ， 该 员工 原来 申请 的 证 书 将 不 
再 使 用 ， 此 时 ， 网 络 管理 员 就 应 及 时 吊销 其 证 书 。 而 证 书 都 有 一 定 的 有 效 期 限 ， 为 了 保证 在 有 效 期 过 后 仍 
能 继续 使 用 ， 应 及 时 更 新 或 者 续 订 。 


10.3.1 吊销 证 书 


如 果 某 些 证 书 不 再 使 用 ， 需 要 将 其 吊销 。 不 过 ， 吊 销 证 书 只 能 在 证 书 服务 器 上 进行 ， 在 客户 端 计算 机 
无 法 进行 吊销 证 书 操作 。 
四 ”登录 到 证 书 服务 器 ， 打 开 “ 证 书 颁 发 机 构 ” 控 制 台 ， 在 “颁发 的 证 书 ” 窗 口中 选择 欲 吊 销 的 证 书 ， 
右 击 并 依次 选择 快捷 菜单 中 的 “所 有 任务 ”一 “吊销 证 书 ” 命 令 ， 显 示 如 图 10-55 所 示 的 “证 书 
吊销 ”对 话 框 ， 在 “理由 码 ” 下 拉 列表 框 中 可 选择 吊销 的 原因 。 


请 指 二 予 和 9 陋 避 、 日 ME 和 RE 辣 。 
ms 
Civ]_ so | 


图 10-55 “证 书 吊 销 ” 对 话 框 
@ 单 击 “ 是 ”按钮 ， 即 可 吊销 该 证 书 。 当 证 书 被 吊销 以 后 ， 将 显示 在 “吊销 的 证 书 ” 窗 格 中 ， 如 
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图 10-56 所 示 。 


图 10-56 吊销 的 证 书 


10.3.2 ”解除 吊销 的 证 书 


如 果 有 些 已 吊销 的 证 书 需 要 继续 使 用 , 就 可 以 将 这 些 证 书 解 除 吊 
销 。 需 要 注意 的 是 ， 只 有 吊销 原因 为 “证 书 待 定 ”的 证 书 才能 解除 吊 
销 ， 因 其 他 原因 吊销 的 证 书 将 不 能 解除 。 

在 “吊销 的 证 书 ” 窗 口中 选择 欲 解除 吊销 的 证 书 ， 右 击 并 依次 选 


EDEFETT 


司 到 SA， FF "EPE 而 PiEH 寺 


择 快捷 菜单 中 的 “所 有 任务 ”一 “解除 吊销 证 书 ”命令 即 可 。 Ee 
如 果 证 书 不 能 被 解除 吊销 ， 则 显示 如 图 10-57 所 示 的 提示 框 ， 
提示 取消 吊销 失败 。 


10.3.3 证书 续 订 


证 书 都 有 一 定 的 有 效 期 限 ， 当 有 效 期 过 后 ， 证 书 将 会 无 效 。 因 此 ， 若 要 继续 使 用 证 书 ， 就 必须 在 证 书 
到 期 前 更 新 或 者 续 订 。 证 书 的 续 订 又 分 为 用 新 密 钥 续 订 和 使 用 相同 密 钥 续 订 。 需 要 注意 的 是 ， 只 有 登录 到 
域 以 后 才 有 权 续 订 证 书 。 


1. 用 新 密 钥 续 订 证 书 


在 客户 端 计 算 机 上 运行 MMC 命令 打开 控制 台 ， 添 加 “证 书 ” 管 理 单元 。 

依次 展开 “个 人 ”一 “证 书 ”， 选 择 欲 续 订 的 证 书 ， 右 击 并 依次 选择 快捷 菜单 中 的 “所 有 任务 ” 

一 “用 新 密 钥 续 订 证 书 ”命令 ， 运 行 “ 证 书 注册 ”向 导 ， 如 图 10-58 所 示 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-59 所 示 的 “申请 证 书 ” 界 面 ， 其 中 列 出 了 可 以 请 求 的 证 书 。 

单 击 “ 详 细 信息 ”按钮 ， 可 以 查看 该 证 书 的 详细 信息 。 

单 击 “ 注 册 ” 按 钮 ， 开 始 向 证 书 服务 器 注册 。 完 成 后 显示 如 图 10-60 所 示 的 “证 书 安装 结果 ” 界 
面 ， 提 示 注册 成 功 。 

单 击 “ 完 成 ”按钮 ， 证 书 申请 成 功 。 
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图 10-58 证 书 注册 向 导 图 10-59 “申请 证 书 ” 界 面 


图 10-60 “证 书 安装 结果 ”界面 


2. 用 相同 密 钥 续 订 证 书 

@ 打开 “证 书 ”管理 单元 ， 选 择 欲 续 订 的 证 书 ， 右 击 并 选择 快捷 菜单 中 的 “所 有 任务 ”一 “高 级 操 
作 ” 一 “使 用 相同 密 钥 续 订 此 证 书 ” 命 令 ， 运 行 证 书 注册 向 导 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-61 所 示 的 “申请 证 书 ” 界 面 ， 其 中 显示 了 要 请 求 的 证 书 。 


图 10-61 “申请 证 书 ” 界 面 
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图 单 击 “ 注 册 ” 按 钮 ， 开 始 向 证 书 服务 器 注册 ， 完 成 后 显示 如 图 10-62 所 示 的 “证 书 安装 结果 ”界面 。 


图 10-62 “证 书 安装 结果 ”界面 
@ 单 击 “ 完 成 ”按钮 ， 完 成 证 书 的 续 订 。 


10.3.4 ”导出 与 导入 证 书 


为 了 防止 因 意外 故障 或 者 重新 安装 系统 而 造成 证 书 损坏 或 丢失 , 用 户 可 以 事先 将 证 书 导 出 以 进行 备份 ， 
而 当 需 要 还 原 时 ， 只 需 将 证 书 导入 即 可 ， 不 必 青 重新 申请 。 


1. 导出 证 书 
@ 在 客户 端 计算 机 上 运行 MMC 命令 ， 打 开 控制 台 窗 口 ， 添 加 “证 书 ”管理 单元 ， 如 图 10-63 所 示 。 
回 ”展开 要 备份 的 证 书 所 在 的 位 置 ， 例 如 “证 书 - 当前 用 户 ” 一 “个 人 ”一 “证 书 ”， 选 择 欲 导出 的 


证 书 ， 右 击 并 依次 选择 快捷 菜单 中 的 “所 有 任务 ”一 “导出 ”命令 ， 运 行 “ 证 书 导 出 向 导 ”， 如 
图 10-64 所 示 。 


| 起 疙 给 E22 
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图 10-63 “证书” 控制 台 图 10-64 证书 导出 向 导 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-65 所 示 的 “导出 私 钥 ” 界 面 ， 选 择 是 否 要 导出 私 钥 。 
图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-66 所 示 的 “导出 文件 格式 ”界面 ， 选 择 证 书 的 导出 格式 。 
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图 10-65 “导出 私 钥 ” 界 面 图 10-66 “导出 文件 格式 ”界面 
回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-67 所 示 的 “要 导出 的 文件 ”界面 ， 在 “文件 名 ”文本 框 中 ， 
输入 证 书 的 保存 路 径 及 文件 名 。 


@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 10-68 所 示 的 “正在 完成 证 书 导出 向 导 ” 界 面 。 


一 正在 完成 证 书 导出 向 导 


六 上 二 忆 上 办 地 元 了 下 所 生出 同 呈 。 


CVser s\nlecunents cert cer i 您 已 融 定 下 列 议 捍 : 
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图 10-67 “要 导出 的 文件 ”界面 图 10-68 “正在 完成 证 书 导出 向 导 ” 界 面 


@ 单 击 “ 完 成 ”按钮 ， 显 示 如 图 10-69 所 示 的 对 话 框 ， 提 示 证 书 导出 完成 。 

单 击 “ 确 定 ” 按 钮 ， 完 成 并 关闭 向 导 。 

2. 导入 证 书 

@ 打开 “控制 台 ” 窗 口 ， 添 加 “证 书 ” 管 理 单元 ， 展 开 “ 个 人 ”， 右 击 “ 证 书 ” 并 依次 选择 快捷 菜 
单 中 的 “所 有 任务 ”一 “导入 ”命令 ， 运行“ 证 书 导入 向 导 ”， 如 图 10-70 所 示 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-71 所 示 的 “要 导入 的 文件 ”界面 ， 单 击 “ 浏 览 ” 按 钮 ， 选 择 
以 前 导出 的 证 书 文件 。 

单 击 “下 一 步 ” 按 钮 ， 显 示 如 图 10-72 所 示 的 “证 书 存 储 ” 界 面 ， 选 择 证 书 的 存储 位 置 。 

单 击 “下 一 步 ” 按 钮 ， 显 示 如 图 10-73 所 示 的 “正在 完成 证 书 导入 向 导 ” 界 面 ， 显 示 前 面 所 做 的 
配置 。 

单 击 “ 完 成 ”按钮 ， 证 书 导 入 成 功 ， 显 示 如 图 10-74 所 示 的 提示 框 。 

单 击 “ 确 定 ”按钮 ， 关 闭 并 完成 证 书 导入 。 
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图 10-69 证 书 导 出 成 功 图 10-70 证书 导入 向 导 


要 号 入 的 文件 全 全 
必定 要 邱 入 BIX 放 ~ 还 书 序 全 是 保全 正 书 的 系 统 区 十 


六 志和 名 O)- ar 梧 以 向 动 入 各 证 所 和 依 ， 或 你 可 以 还 书 村 家 一 个 位 置 。 
Coera\ in De enenta lio cer tcer 


动 取 择 还 节 存 入世 ) 
这 宫 ， 用 3 格式 可 以 在 一 个 多 件 中 存 习 一 个 以 上 古书 : 用 参 
个 人 信息 交 扒 -TICS 2 《TI .TI2) 
加 向 订 法 村 痊 _PHs #7 证 PTB) 
用 srosogt 大 NE 世相 铺 ( 357] 


图 10-71 “要 导入 的 文件 ”界面 图 10-72 “证 书 存储 ”界面 


正在 完成 证 书 导入 向导 


音 击 " 宾 质 ”后 竺 导入 证 


图 10-73 “正在 完成 证 书 导 入 向 导 ” 界 面 图 10-74 ”证书 导入 成 功 


10.3.5 配置 安全 Web 服务 器 
为 了 保证 数据 传输 过 程 中 的 安全 ， 很 多 Web 网 站 都 配置 SSL 安全 设置 ， 也 就 是 HTTPS 网 站 。 不 过 ， 
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SSL 网 站 必须 使 用 证 书 ， 如 果 企业 中 部 署 了 证 书 服务 器 ， 就 可 以 为 Web 服务 器 申请 证 书 并 进行 配置 。 

1. 为 Web 服务 器 申请 证 书 

为 Web 服务 器 申请 证 书 有 两 种 方式 , 一 是 利用 下 浏览 器 申请 , 二 是 在 IIS 管理 器 中 利用 “创建 域 证 书 ” 
来 申请 。 另 外 ， 如 果 是 在 其 他 计算 机 上 申请 的 证 书 ， 也 可 以 复制 到 Web 服务 器 上 ， 然 后 在 IIS 管理 器 中 
导入 。 

(了 利用 还 浏览 器 申请 

@ 登录 到 Web 服务 器 ,在 下 浏览 器 中 打开 证 书 服务 器 的 证 书 服务 主页 ， 如 图 10-75 所 示 。 

@ 单 击 “ 申 请 证 书 ”链接 ， 显 示 如 图 10-76 所 示 的 “申请 一 个 证 书 ” 界 面 。 


rr fr] 
2 1 有 mo-9me 
CTZTTTTTITTTTTEEITEIEITTTXTCZI 3 
欢迎 使 用 


使 用 此 网 站 为 你 的 Web 济 医 况 、 咎 了 部件 部 户 铺 下 他 他 各 序 申请 证 书 ， 通 过 使用 证 书 ， 空 可 
以 向 通过 Web 进行 通 们 的 用 户 确认 您 的 身份、 签名 并 力 训 部 全， 间 根 浊 亿 忠生 的 还 书迷 民 沁 
行 其 他 安全 任务 - 


您 也 可 以 使 用 此 网 站 下 可 还 书信 发 机 购 (CAji 正 书 、 证 书 钾 ， 或 还 书 必 铺 列表 (CRL) ， 岂 者 查看 
圭 息 中 请 的 居 恋 - 


有 关 Active Directory 证 书 服务 的 放 梧 信息， 请 戎 辣 Active Directory 证 卡 骤 务 文 下 
i 


下 载 _Ch 证 书 、 还 书 钴 或 CRL 


人 1 = 
图 10-75 证书 服务 主页 图 10-76 “申请 一 个 证 书 ”界面 
图 单 击 “ 高 级 证 书 申请 ”链接 ， 显 示 如 图 10-77 所 示 的 “高 级 证 书 申请 ”界面 。 


图 单 击 “ 创 建 并 向 此 CA 提交 一 个 申请 ”链接 ， 显 示 如 图 10-78 所 示 的 窗口 。 在 “证 书 模板 ”下 拉 
列表 框 中 选择 “Web 服务 器 ”选项 ， 并 输入 识别 信息 、 设 置 密 钥 等 相关 信息 。 


CA 的 第 略 决 定 您 可 以 申请 的 证 书 类 别 ， 单 击 下 列 选 需 之 一 来 : 


创建 并 问 此 CA 深交 一 个 申请 ，。 
全 用 base64 名 的 CMC 或 PKCS #10 文人 提交 一 个 证 世 由 请 ,或 人 用 
7 闵 人 请 ， 


base64 


图 10-77 “高 级 证 书 申请 ”界面 图 10-78 申请 Web 证 书 


回 在 窗口 底部 单 击 “ 提 交 ” 按 钮 ， 开 始 向 证 书 服务 器 提交 申请 。 完 成 后 显示 如 图 10-79 所 示 的 “证 
书 已 颁发 ”界面 ， 提 示 所 申请 的 证 书 已 颁发 。 
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@ 单 击 “ 安 装 此 证 书 ” 链 接 ， 即 可 成 功 安装 此 证 书 ， 显 示 如 图 10-80 所 示 的 “证 书 已 安装 ”界面 。 


图 10-79 “证 书 已 颁发 ”界面 图 10-80 “证 书 已 安装 ”界面 


提示 : 如 果 Web 服务 器 没有 加 入 域 ， 则 必须 先 配置 信任 证 书 颁 发 机 构 。 并且， 所 申请 的 证 书 必须 由 管理 
员 颁 发 后 才能 进行 安装 


(2) 创建 域 证 书 
@ 依次 选择 “开始 ”一 “管理 工具 ”一 “Internet 信息 服务 (IIS) 管 理 器 ”命令 ， 选 择 Web 服务 器 名 
称 ， 在 “主页 ”窗口 中 双击 “服务 器 证 书 ” 图 标 ， 显 示 如 图 10-81 所 示 的 “服务 器 证 书 ” 窗 格 。 


日 国 网站 
Htodt fa site 


图 10-81 “服务 器 证 书 ” 窗 格 


加 单 击 “ 操 作 ” 列 表 中 的 “创建 域 证 书 ” 链 接 ， 显 示 如 图 10-82 所 示 的 “可 分 辨 名 称 属性 ”界面 ， 
输入 名 称 、 组 织 、 省 /市 等 信息 。 

@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 10-83 所 示 的 “联机 证 书 颁发 机 构 ” 界 面 。 

图 单 击 “ 浏 览 ”按钮 ， 显 示 如 图 10-84 所 示 的 “选择 证 书 颁发 机 构 ” 对 话 框 ， 在 列表 框 中 选择 证 书 
颁发 机 构 。 
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图 10-82 “可 分 辨 名 称 属性 ”界面 图 10-83 “联机 证 书 颁发 机 构 ” 界 面 


回 单 击 “确定 ”按钮 ， 返 回 “ 联 机 证 书 颁 发 机 构 ” 对 话 框 ， 并 在 “好 记名 称 ” 文 本 框 中 输入 一 个 名 
称 ， 如 图 10-85 所 示 。 


图 10-84 “选择 证 书 颁发 机 构 ” 对 话 框 图 10-85 “联机 证 书 颁发 机 构 ”界面 


单 击 “ 完 成 ”按钮 ， 证 书 申请 完成 ， 返 回 到 IIS 管理 器 窗口 。 在 “服务 器 证 书 ” 窗 格 中 显示 了 新 
创建 的 证 书 ， 如 图 10-86 所 示 。 


图 10-86 ”证 书 创建 成 功 
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2. 将 证 书 应 用 于 Web 服务 器 


@ 在 IIS 管理 器 窗口 中 ， 右 击 “ 网 站 ”， 选 择 快 捷 菜 单 中 的 “添加 网 站 ”命令 ， 显 示 如 图 10-87 所 
示 的 “添加 网 站 ”对 话 框 ， 设 置 如 下 选项 。 

时 ”网 站 名 称 : 输入 Web 网 站 名 称 。 

里“ 物理 路 径 : 指定 Web 网 站 的 主 目录 。 

里 ”类 型 : 选择 https 选项 ， 创 建 一 个 https 网 站 。 

IP 地址 和 端口 : 指定 IP 地 址 和 端口 ， 默 认 端 口 使 用 443。 

和 ”SSL 证书: 在 下 拉 列 表 中 选择 为 该 Web 网 站 创建 的 证 书 。 

回 单 击 “ 确 定 ”按钮 ， 完 成 新 网 站 的 创建 ， 如 图 10-88 所 示 。 至 此 ，SSL 网 站 创建 完成 。 


图 10-87 “添加 网 站 ”对 话 框 图 10-88 SSL 网 站 创建 完成 


3. 在 工作 站 上 验证 Web 服务 器 
如 果 客 户 端 计 算 机 没有 安装 证 书 , 那么 , 当 访 问 Web 服务 器 时 就 会 提示 证 书 有 问题 。 只 有 安装 证 书后 ， 
才能 以 加 密 方式 浏览 Web 网 站 。 


@ 在 客户 端 计算 机 上 打开 IE 浏览 器 ， 在 地 址 栏 中 输入 Web 网 站 的 网 站 ， 格 式 为 https://Web 网 站 
地 址 ， 如 图 10-89 所 示 ， 系 统 提示 “此 网 站 的 安全 证 书 有 问题 ”。 


图 10-89 ”提示 证 书 有 问题 
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@ 安全 内 幕 


回 ”如果 要 继续 浏览 此 网 站 ， 单 击 “ 继 续 浏览 此 网 站 (不 推荐 ] ”超级 链接 ， 显 示 如 图 10-90 所 示 的 窗 
口 。 同 时 ， 在 地 址 栏 中 将 显示 “证 书 错误 ”。 


Cs 
[5$ @ memet | Ret ET I00% 。 


图 10-90 浏览 Web 网 站 


此 时 ， 向 证 书 服务 器 申请 一 个 证 书 ， 或 者 将 证 书 服务 器 的 证 书 复制 到 本 地 计算 机 并 导入 ， 即 可 使 用 安 
全 Web 方式 连接 到 相应 的 站 点 。 
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远程 访问 是 大 多 数 企业 网 络 中 的 必 备 功能 ， 使 用 户外 全 关键 词 

无 论 出 差 在 外 ， 还 是 在 家 办 公 ， 都 可 以 通过 Internet 连 Windows 远程 访问 VPN 的 组 件 
接 公司 的 内 部 网 络 ， 及 时 处 理 各 种 业务 。 不 过 ，Internet 远程 访问 VPN 连接 规划 和 设计 
传输 的 开放 性 很 高 ， 安 全 性 也 无 法 保证 。VPN(Virtual 配置 基于 VPN 的 远程 访问 
Private Network， 虚 拟 专用 网 ) 是 目前 常用 的 远程 访问 技 

术 之 一 ， 其 主要 特点 是 安全 可 靠 、 机 制 灵活 、 费 用 低廉 

易于 实现 和 操作 。 对 于 服务 器 端 而 言 ， 大 多 数 网 络 交 换 

机 、 路 由 器 以 及 网 络 管理 软件 都 已 经 集成 VPN 功能 ， 用 


户 无 需 增加 额外 的 投资 即 可 享受 安全 可 靠 的 远程 连接 。 
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11.1 Windows 远程 访问 VPN 的 组 件 


VPN 的 安全 性 主要 是 通过 加 密实 现 的 。Windows Server 2008 和 Windows Vista 系统 支持 如 下 3 种 远 
程 访问 VPN 技术 。 


点 对 点 隧道 协议 (PPTP)。PPTP 为 用 户 级 身份 验证 使 用 点 对 点 协议 的 身份 验证 ， 为 数据 加 密使 用 
Microsoft 点 对 点 加 密 (MPPE)。 

使 用 Internet 安全 协议 的 第 二 层 隧道 协议 (L2TP/IPSec)。L2TP/IPSec 为 用 户 级 身份 验证 使 用 PPP 
身份 验证 方法 ， 为 计算 机 级 身份 验证 、 数 据 身份 验证 、 数 据 完整 性 和 数据 加 密使 用 IPSec。 

安全 套 接 字 隧道 协议 (SSTP)。SSTP 为 用 户 级 身份 验证 使 用 PPP 身份 验证 方法 ， 为 数据 身份 验证 、 
数据 完整 性 和 数据 加 密使 用 安全 套 接 字 层 (SSL) 通 道 (也 称 TLS 通道 )。 


Windows 远程 访问 网 络 中 通常 包括 图 11-1 所 示 的 VPN 组 件 。 


公共 WWW 服 务 器 恒 : 
移动 用 
自 - 火 墙 
A | 上 站 SN 
远程 管理 员 


图 11-1 基于 Windows 的 远程 访问 VPN 的 组 件 


这 些 组 件 包 括 以 下 内 容 。 


VPN 客户 端 。VPN 客户 端 请 求 到 VPN 服务 器 的 远程 访问 VPN 连接 ， 建 立 连接 后 就 可 以 与 内 网 资 
源 进行 通信 。 

VPN 服务 器 。VPN 服务 器 监听 远程 访问 VPN 连接 尝试 ， 强 制 身 份 验证 和 连接 请 求 ， 并 在 VPN 客 
户 端 和 内 网 资源 闻 路 由 数据 包 。 

RADIUS 服务 器 。 RADIUS 服务 器 为 来 自 多 个 VPN 服务 器 (以 及 其 他 类 型 的 访问 服务 器 ] 的 网 络 访问 
尝试 提供 集中 身份 验证 和 授权 处 理 ， 以 及 记 账 功能 。 

活动 目录 域 控制 器 。 活动 目录 域 控制 器 为 身份 验证 检验 用 户 资格 , 并 提供 用 户 账户 信息 来 评价 授权 。 
证 书 颁发 机 构 (CA)。CA 是 PKI 的 一 部 分 ， 用 来 为 VPN 客户 端 发 布 计算 机 或 用 户 证 书 ， 为 VPN 服 
务 器 和 RADIUS 服务 器 发 布 计算 机 证 书 ， 以 便 其 进行 VPN 连接 的 计算 机 级 身份 验证 和 用 户 级 身份 
验证 。 


远程 访问 VPN 连接 的 典型 用 户 如 下 。 
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移动 用 户 : 使 用 笔记 本 计算 机 或 其 他 移动 终端 设备 ， 连 接 内 网 访问 E-mail 和 其 他 网 络 资源 。 
远程 终端 用 户 : 在 家 中 使 用 Internet 访问 内 网 资源 。 


= 远程 管理 员 ， 使 用 Internet 连接 专 有 网 络 ， 并 配置 网 络 或 应 用 程序 服务 。 
11.2 ”远程 访问 VPN 连接 规划 和 设计 


VPN 的 实现 方式 和 应 用 技术 有 多 种 ， 分 别 适 用 于 不 同 的 应 用 环境 ， 并 且 安 全 级 别 和 易 用 程度 也 略 有 不 
同 ， 没 有 一 种 VPN 方案 是 放 之 四 海 而 皆 准 的 。 因 此 ， 部 署 远 程 访 问 VPN 连接 之 前 ， 必 须 进 行 周密 规划 ， 
寻求 一 种 最 佳 解决 方案 ， 需 要 考虑 的 因素 通常 包括 加 密 协 议 、 身 份 验证 方式 、 服 务 器 类 型 等 。 


11.2.1 VPN 协议 


Windows Server 2008 支持 如 下 远程 访问 VPN 协议 。 

和 PPTP: PPTP 使 用 PPP 用 户 身 份 验证 和 MPPE 加 密 。 当 使 用 具有 强壮 密码 的 MS-CHAP v2 或 PEAP- 
MS-CHAP v2 时 ，PPTP 是 一 种 安全 的 VPN 技术 。 对 于 基于 证 书 的 身份 验证 ，EAP-TLS 可 与 基于 注 
册 的 证 书 或 智能 卡 一 同 使 用 。PPTP 被 广泛 支持 ， 易 于 配置 ， 可 用 于 大 部 分 网 络 地址 转换 (NAT)。 
Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 均 支持 PPTP。 

和 ”L2TP/IPSec: L2TP 利用 PPP 用 户 身份 验证 和 IPSec 数据 包 保护 。L2TP/IPSec 使 用 证 书 (默认 ) 和 
IPSec 计算 机 级 的 身份 验证 过 程 来 协商 受 保护 的 IPSec 会 话 , 然后 基于 PPP 的 用 户 身 份 验 证 来 认证 
VPN 客户 端 计算 机 的 用 户 。 通 过 使 用 IPSec，L2TP/IPSec 为 每 个 数据 包 提供 了 数据 机 密 性 (加 密 )、 
数据 完整 性 (证 明 数 据 没 有 在 传输 过 程 中 被 修改 ]) 和 数据 的 原始 认证 (证 明 数 据 由 授权 用 户 发 出 )。 但 
是 L2TP/IPSec 需要 PKI 为 每 个 基于 L2TP/IPSec 的 VPN 客户 端 分 配 计算 机 证 书 . Windows Server 
2008、Windows Vista、Windows Server 2003 和 Windows XP 均 支 持 L2TP/IPSec。 

至。 SSTP: SSTP 利用 PPP 用 户 身份 验证 , 为 封装 和 加 密使 用 SSL 上 的 HTTP 通道 。 因为 SSTP 使 用 SSL 
通信 (使 用 TCP 端口 443]， 所 以 SSTP 可 用 于 多 种 不 同 的 网 络 配置 ， 如 位 于 NAT、 防 火 墙 或 不 支 
持 PPP 或 L2TP/IPSec 通信 的 代理 服务 器 之 后 的 VPN 客户 端 或 服务 器 .只 有 Windows Server 2008 
和 Windows Vista SP1 支持 SSTP。 

1. VPN 协议 的 设计 

为 远程 VPN 连接 选择 加 密 协议 时 ， 应 遵循 如 下 原则 。 

和 当 使 用 PEAP-MS-CHAP v2、EAP-MS-CHAP v2 或 MS-CHAP v2 身份 验证 时 ，PPTP 不 需要 证 书 基础 
结构 来 为 每 个 VPN 客户 端 发 布 证 书 。 

”基于 PPTP 的 VPN 连接 为 数据 包 提供 数据 机 密 性 (加 密 ]。 基 于 PPTP 的 VPN 连接 不 提供 数据 完整 
性 或 数据 原始 认证 。 

”通过 使 用 IPSec， 基 于 L2TP/IPSec 的 VPN 连接 提供 数据 机 密 性 、 数 据 完 整 性 和 数据 原始 认证 。 

”基于 SSTP 的 VPN 连接 客户 端 和 服务 器 可 置 于 NAT、 防 火 墙 或 Web 代理 之 后 。 但 是 ，SSTP 不 支 
持 位 于 身份 验证 Web 代理 之 后 的 VPN 客户 端 和 服务 器 。 

”默认 情况 下 ， 运 行 Windows Server 2008 的 VPN 服务 器 同时 支持 这 3 种 VPN 连接 类 型 。 对 于 没 
有 安装 计算 机 证 书 的 VPN 客户 端 ， 用 户 可 以 使 用 PPTP; 对 于 安装 了 计算 机 证 书 的 VPN 客户 端 ， 
用 户 可 以 使 用 L2TP/IPSec; 对 于 运行 Windows Vista SP1 的 VPN 客户 端 使 用 SSTP。 

里 ”如 果 用 户 正 在 联合 使 用 VPN 协议 ， 用 户 可 以 为 PPTP、L2TP/IPSec 或 SSTP 连接 创建 单独 的 网 络 
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策略 ， 定 义 不 同 的 连接 设置 。 

和 ”在 Windows Server 2008 和 Windows Vista 中 , IPv6 通信 可 通过 基于 PPTP 的 VPN 连接 作为 IPv4 
隧道 通信 进行 发 送 ， 或 者 在 VPN 隧道 中 进行 本 地 IPv6 通信 。 

和 ”在 Windows Server 2008 和 Windows Vista 中 ，L2TP/IPSec 或 SSTP 的 VPN 连接 支持 作为 IPv4 
隧道 通信 的 IPv6 通信 、VPN 隧道 内 的 IPv6 通信 ， 以 及 IPv6 之 上 的 VPN 连接 。 


2. VPN 协议 的 需求 


如 果 在 NAT 网 络 中 使 用 一 个 NAT 编辑 器 来 传输 PPTP 通道 数据 ， 则 基于 PPTP 的 VPN 客户 端 可 以 位 
于 NAT 之 后 。 大 部 分 NAT 网 络 使 用 单一 公有 IPv4 地 址 , 包括 ICS 和 NAT 路 由 协议 组 件 ， 可 以 被 配置 为 允 
许 基 于 IPv4 地 址 和 TCP、UDP 端口 的 入 站 通信 。 但 是 ，PPTP 通道 数据 不 能 使 用 TCP 或 UDP 的 头 。 所 以 ， 
当 使 用 单一 公有 IPv4 地 址 时 ，VPN 服务 器 不 能 位 于 使 用 ICS 或 NAT 路 由 协议 组 件 的 计算 机 之 后 。 

如 果 基 于 L2TP/IPSec 的 VPN 客户 端 或 服务 器 都 支持 IPSec NAT 穿越 (NAT-T), 则 服务 器 或 客户 端 不 能 
位 于 NAT 之 后 。Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP SP2 都 支 
持 IPSecNAT-T。 

L2TP/IPSec 默认 情况 下 支持 计算 机 证 书 ， 并 推荐 使 用 IPSec 身份 验证 方式 。 尽 管用 户 可 以 配置 为 认证 
的 L2TP/IPSec 连接 配置 一 个 预 共享 密 钥 ， 但 是 这 并 不 推荐 ， 除 非 作为 在 配置 PKI 时 的 过 渡 身 份 验证 方式 。 
计算 机 证 书 身份 验证 需要 PKI 来 发 行 计算 机 证 书 给 VPN 服务 器 计算 机 和 所 有 VPN 客户 端 计算 机 。 

Windows Server 2008 和 Windows Vista SP1 支持 SSTP。SSTP 使 用 加 密 的 SSL 通道 来 保护 所 有 通过 
VPN 连接 的 数据 。 为 了 创建 该 加 密 通道 ，VPN 服务 器 必须 拥有 计算 机 证 书 ， 并且 VPN 客户 端 计算 机 必须 能 
够 验证 VPN 服务 器 的 计算 机 证 书 。 这 就 意味 着 VPN 客户 端 必须 拥有 发 布 VPN 服务 器 计算 机 证 书 的 CA 的 
根 CA 证 书 。 

如 果 用 户 想 要 在 VPN 通道 中 发 送 原始 IPv6 通信 ， 或 者 使 用 IPv6 Internet 中 要 求 拨号 的 VPN 连接 ， 则 
必须 使 用 L2TP/IPSec。 


© 注意 ;如 果 用户 已 经 拥有 一 个 PKI， 则 可 以 使 用 L2TP/IPSec 代替 PPTP。 如 果 用 户 没有 使 用 所 有 的 VPN 
协议 ， 则 在 “路 由 和 远程 访问 ”管理 单元 中 的 “端口 ”节点 中 配置 不 使 用 的 VPN 协议 的 端口 值 为 0。 


11.2.2 ”身份 验证 方式 


VPN 连接 中 可 以 通过 多 种 方式 实现 对 客户 端的 身份 验证 。Windows Server 2008 支持 的 身份 验证 协议 
如 下 。 
MS-CHAP v2 
EAP-MS-CHAP v2 
EAP-TLS 
PEAP-MS-CHAP v2 
m PEAP-TLS 


1. 身份 验证 协议 的 设计 选择 
选择 身份 验证 协议 时 ， 应 遵循 如 下 设计 原则 。 
和 ”EAP-TLS 和 PEAP-TLS 必须 与 PKI 联合 使 用 。 对 于 EAP-TLS，VPN 客户 端 发 送 自己 的 用 户 证 书 进 
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行 身份 验证 ， 并 且 身 份 验证 服务 器 发 送 计 算 机 证 书 进 行 身 份 验证 。 默 认 情况 下 ，VPN 客户 端 认证 
VPN 服务 器 的 证 书 。 对 于 PEAP-TLS，VPN 客户 端 和 认证 服务 器 创建 一 个 加 密 的 TLS 通道 ， 然 后 
VPN 客户 端 和 认证 服务 器 交换 证 书 .EAP-TLS 和 PEAP-TLS 都 比 PEAP-MS-CHAP v2 或 MS-CHAP v2 
安全 。 

里 ”如果 没有 用 户 证 书 或 智能 卡 ， 则 可 以 使 用 PEAP-MS-CHAP v2、MS-CHAP v2 或 EAP-MS-CHAP v2。 
推荐 使 用 PEAP-MS-CHAP v2， 因 为 PEAP-MS-CHAP v2 消息 交换 是 受 TLS 通道 保护 的 ， 使 恶意 攻 
击 者 很 难 截 获 交 换 消息 ， 确 定 用 户 密码 。 

”MS-CHAP v2、EAP-MS-CHAP v2 和 PEAP-MS-CHAP v2 都 是 基于 密码 的 身份 验证 协议 。 

和 ”EAP-TLS 和 PEAP-TLS 都 是 基于 证 书 的 身份 验证 协议 。 

里。 对 于 基于 L2TP/IPSec 的 连接 ， 任 一 用 户 级 别 的 身份 验证 协议 都 可 以 使 用 ， 因 为 在 VPN 客户 端 和 
VPN 服务 器 确定 IPSec 保护 通道 之 后 才 进行 身份 验证 。 但是， 推荐 PEAP-MS-CHAP v2、MS-CHAP 
V2、EAP-MS-CHAP v2、EAP-TLS 或 PEAP-TLS 为 强壮 用 户 提供 身份 验证 。 

2. 身份 验证 协议 的 要 求 

如 果 已 经 选择 了 不 同 的 VPN 连接 加 密 协 议 ， 则 选择 身份 验证 协议 时 ， 应 考虑 如 下 问题 。 

时 如果 是 基于 PPTP 协议 加 密 的 VPN 连接 ， 则 用 户 必须 使 用 MS-CHAP v2、EAP-MS-CHAP v2、 
PEAP-MS-CHAP v2、EAP-TLS 或 PEAP-TLS。 只 有 这 些 身份 验证 协议 提供 产生 会 话 初 始 化 加 密 密 钥 
的 机 制 ， 才 能 用 于 VPN 客户 端 和 VPN 服务 器 加 密 PPTP 数据 。 

”运行 Windows Server 2008 和 Windows Vista 的 VPN 客户 端 都 支持 PEAP-MS-CHAP v2 和 
EAP-MS-CHAP v2。 运 行 Windows Server 2008、Windows Vista、Windows Server 2003 或 
Windows XP 的 VPN 客户 端 都 支持 MS-CHAP v2。 

和 ”PEAP-MS-CHAP v2 要 求 在 身份 验证 服务 器 上 安装 计算 机 证 书 和 VPN 客户 端 计 算 机 所 使 用 的 计算 
机 证 书 的 根 CA 证 书 。 只 有 运行 Windows Server 2008 或 Windows Vista 的 VPN 客户 端 支持 
PEAP-MS-CHAP v2。 

和 ”对 于 基于 SSTP 的 连接 ,用 户 必须 使 用 MS-CHAP v2、EAP-MS-CHAP v2、PEAP-MSCHAP v2、EAP-TLS 
或 PEAP-TLS。 只 有 这 些 身份 验证 协议 提供 产生 会 话 初始 化 加 密 密 钥 的 机 制 , 才能 避免 恶意 攻击 者 
对 基于 SSTP 的 VPN 连接 的 攻击 。 

”为 了 配置 NAP 的 VPN 强制 ， 用 户 必 须 使 用 基于 PEAP 的 身份 验证 方式 。 


© 注意 ， 如 果 使 用 基于 密码 的 身份 验证 协议 ， 则 需要 在 网 络 中 使 用 强 密码 ， 即 长 度 至 少 为 8 个 字符 ， 且 包 
含 大 小 写字 母 、 数 字 和 标点 符号 。 


11.2.3 ”VPN 服务 器 


VPN 服务 器 端 有 多 种 实现 方式 ， 例 如 路 由 器 或 防火 墙 上 的 VPN 模块 、Windows 服务 器 操作 系统 的 服 
务 器 等 。 从 易 用 性 和 实现 成 本 来 考虑 ， 建 议 选择 基于 Windows Server 2008 或 Windows Server 2003 系统 
组 件 的 VPN 服务 器 。 


1. VPN 服务 器 的 设计 选择 
在 Windows Server 2008 或 Windows Server 2003 系统 中 ， 安 装 VPN 服务 器 组 件 时 ， 应 遵循 如 下 设计 
原则 。 
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VPN 客户 端 既 可 以 从 DHCP 获 取 卫 地 址 ,也 可 以 从 手动 配置 的 地 址 范围 中 获取 卫 地 址 。 使 用 DHCP 
获取 IP 地 址 简化 了 配置 ， 但 是 ， 用 户 必须 确保 VPN 服务 器 所 在 子 网 的 DHCP 范围 为 所 有 连接 子 
网 的 计算 机 拥有 足够 的 地 址 和 远程 访问 客户 端的 最 大 数量 。 如 果 用 户 配 置 了 静态 地 址 池 ， 可 能 久 
要 其 他 路 由 配置 。 
VPN 服务 器 可 以 评估 身份 验证 和 VPN 连接 的 授权 ， 或 者 依赖 RADIUS 服务 器 。 当 配置 VPN 服务 
器 时 ， 用 户 可 以 为 身份 验证 或 记 账 选择 使 用 Windows 或 RADIUS 。 

当 配置 使 用 Windows 来 进行 身份 验证 和 记 账 时 ，VPN 服务 器 是 活动 目录 域 的 成 员 ， 并 且 通 过 与 
域 控制 器 通信 来 验证 VPN 客户 端的 证 书 ， 获 取 VPN 客户 端 拨号 属性 。 默 认 情 况 下 ，VPN 服务 器 
记录 VPN 连接 记 账 信息 在 本 地 记 账 日 志文 件 中 。 当 配置 为 使 用 RADIUS 进行 身份 验证 和 记 账 时 ， 
VPN 服务 器 使 用 RADIUS 服务 器 来 验证 VPN 客户 端的 证 书 ， 授 权 连 接 尝试 ， 并 且 记 录 VPN 连接 
记 账 信息 。 

“路 由 和 远程 访问 服务 器 安装 向 导 ” 不 能 为 远程 访问 VPN 客户 端 自动 启用 IPv6 支持 。 


2. VPN 服务 器 的 要 求 
基于 Windows Server 2008 系统 远程 访问 功能 的 VPN 连接 ， 有 如 下 配置 要 求 。 


11.2.4 


VPN 服务 器 的 Internet 接口 和 内 网 接口 必须 拥有 静态 IP 地 址 。 由 于 存在 默认 路 由 冲突 的 可 能 性 ， 
用 户 应 该 使 用 IPv4 地 址 手动 配置 内 网 接口 、 子 网 掩 码 、DNS 服务 器 和 WINS 服务 器 。 但 是 ， 不 要 
配置 VPN 服务 器 内 网 接口 的 默认 网 关 。 这 样 才 可 能 使 VPN 服务 器 拥有 手动 TCP/IP(IPv4) 配 置 ， 
并 且 使 用 DHCP 获取 IPv4 地 址 。 

对 于 使 用 PEAP-MS-CHAP v2、EAP-TLS 或 PEAP-TLS 身份 验证 协议 的 VPN 连接， 用户 必 须 在 身份 
验证 服务 器 上 安装 VPN 客户 端 可 以 验证 的 计算 机 证 书 。 也 可 能 需要 用 户 在 VPN 客户 端 上 安装 身 
份 验证 服务 器 的 计算 机 证 书 的 发 行 CA 的 根 CA 证 书 。 

对 基于 SSTP 的 VPN 连接 ， 用 户 必 须 在 VPN 服务 器 上 安装 VPN 客户 端 可 以 验证 的 计算 机 证 书 。 
用 户 也 可 能 需要 在 VPN 客户 端 上 安装 VPN 服务 器 的 计算 机 证 书 的 发 行 CA 的 根 CA 证 书 。 

对 基于 L2TP/IPSec 的 VPN 连接 ， 用 户 必须 在 VPN 服务 器 上 安装 VPN 客户 端 可 以 验证 的 计算 机 
证 书 。 

如 果 用 户 为 本 地 身份 验证 或 为 RADIUS 身份 验证 配置 VPN 服务 器 , 并且 RADIUS 服务 器 是 运行 NPS 
的 计算 机 ， 则 默认 网 络 策略 将 会 拒绝 所 有 类 型 的 连接 尝试 ， 除 非 远程 访问 允许 的 用 户 账户 拨号 必 
性 是 允许 访问 的 。 如 果 用 户 想 要 为 VPN 连接 使 用 该 网 络 策略 ， 则 设置 策略 类 型 为 “允许 访问 ”。 
如 果 用 户 想 要 通过 组 或 连接 类 型 管理 授权 和 VPN 连接 设置 ， 则 必须 配置 其 他 NPS 策略 。 


Internet 基础 结构 


VPN 客户 端 和 服务 器 之 间 的 通信 是 借助 Internet 实现 的 , 因此 部 署 VPN 远程 访问 之 前 ,必须 确保 VPN 
服务 器 是 公开 在 Internet 中 的 ， 并 且 在 Windows 防火 墙 或 网 管 防火 墙 上 允许 所 有 VPN 出 站 连接 。 

1. VPN 服务 器 名 称 的 可 解析 性 

在 大 部 分 情况 下 ， 用 户 都 是 通过 FQDN 来 涉及 VPN 服务 器 的 ， 而 非 IPv4 或 IPv6 地 址 。 只 要 FQDN 名 
称 可 以 解析 为 IPv4 或 IPv6 地 址 ， 用 户 就 可 以 使 用 FQDN。 所 以 ， 必 须 确保 当 配置 VPN 连接 时 ，VPN 服务 
器 所 使 用 的 名 称 可 以 解析 为 DNS 服务 器 所 使 用 的 IPv4 或 IPv6 地 址 。 


当 用 户 使 用 名 称 而 非 地 址 时 ， 如 果 多 个 VPN 服务 器 使 用 相同 的 DNS 主机 名 称 ， 也 可 以 利用 DNS 循环 
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负载 平衡 。 在 DNS 中 ， 用 户 可 以 创建 多 个 记录 ， 解 析 指 定 的 主机 名 称 为 不 同 的 IPv4 地 址 。 在 这 种 情况 下 ， 
DNS 服务 器 返还 所 有 地 址 回应 DNS 名 称 查询 ， 并 且 通 常 对 于 连续 的 查询 随机 排列 地 址 的 顺序 。 由 于 大 部 分 
的 DNS 客户 端 使 用 DNS 查询 回应 的 第 一 个 地 址 ， 这 样 VPN 客户 端 连接 就 可 以 平均 到 所 有 VPN 服务 器 上 ， 
只 要 所 有 VPN 服务 器 都 可 用 。 


[s | 提示 : 为 了 确保 VPN 服务 器 的 可 用 性 ， 用 户 可 以 使 用 网 络 负载 平衡 . 


2. VPN 服务 器 的 可 到 达 性 


为 了 可 到 达 性 ，VPN 服务 器 必须 分 配 一 个 公有 IPv4 地 址 或 者 全 局 IPv6 地 址 。 如 果 被 分 配 一 个 静态 公 
有 IPv4 地 址 或 全 局 IPv6 地 址 前 级 ,通常 情况 下 不 会 出 现 问 题 。 在 一 些 IPv4 配置 中 ，VPN 服务 器 实际 上 使 
用 专 有 IPv4 地 址 配置 , 并 且 拥 有 公有 的 静态 IPv4 地 址 。 在 Internet 和 VPN 服务 器 之 间 的 设备 将 VPN 服务 
器 的 公有 和 有 效 IPv4 地 址 转换 为 数据 包 发 送 到 VPN 服务 器 。 

尽管 路 由 基础 结构 能 提供 到 达 性 ， 但 是 VPN 服务 器 可 能 由 于 防火 墙 、 数 据 包 筛选 器 路 由 器 、NAT、 安 
全 网 关 或 其 他 类 型 的 设备 的 配置 ， 而 无 法 到 达 。 

3. VPN 服务 器 和 防火 墙 配置 


VPN 服务 器 支持 如 下 两 种 防火 墙 规划 方案 。 

到 VPN 服务 器 可 以 直接 到 达 Internet， 并 且 防 火 墙 位 于 VPN 服务 器 和 内 网 之 间 。 这 种 配置 下 ，VPN 
服务 器 必须 使 用 数据 包 筛 选 器 配置 ， 只 允许 VPN 通信 进出 Internet 接口 。 防 火 墙 可 以 配置 为 允许 
指定 类 型 的 远程 访问 通信 。 

晶 ”VPN 服务 器 通过 防火 墙 到 达 Internet， 并 且 VPN 服务 器 位 于 防火 墙 和 内 网 之 间 。 这 种 配置 下 ， 防 
火 墙 和 VPN 服务 器 都 可 以 到 达 名 为 边界 网 络 的 子 网 .防火 墙 和 VPN 服务 器 必须 配置 为 只 允许 VPN 
进出 站 连接 。 

4. 对 Internet 基础 结构 的 要 求 


VPN 连接 对 Internet 基础 结构 的 要 求 如 下 。 

和 确保 VPN 服务 器 的 FQDN 的 可 解析 性 ， 放 置 适当 的 DNS 地 址 (A] 或 IPv6 地 址 (AAAA) 记 录 在 DNS 
服务 器 或 ISP 的 DNS 服务 器 中 。 当 直接 连接 到 IPv4 或 IPv6 Internet 时 使 用 Ping 工具 测试 解析 性 。 

曙 ”确保 VPN 服务 器 的 IPv4 或 IPv6 地 址 从 Internet 可 以 到 达 ， 当 直接 连接 Internet 时 ， 这 个 过 程 可 
以 通过 使 用 Ping 工具 来 Ping VPN 服务 器 的 域名 或 IP 地 址 来 完成 。 如 果 显 示 Destination 
unreachable 的 错误 消息 ， 则 VPN 服务 器 是 不 可 到 达 的 。 


注意 ; 需要 为 PPTP、L2TP、SSTP 或 连接 Intemet 和 边界 网 络 的 适当 防火 墙 ， 以 及 VPN 服务 器 接口 的 所 
有 类 型 的 通信 ， 配 置 数据 包 得 选 器 。 


11.2.5 ”内 网 基础 结构 


内 网 基础 结构 确保 VPN 客户 端 可 以 与 内 网 中 使 用 VPN 服务 器 作为 IPv4 或 IPv6 路 由 器 的 节点 交换 数据 
包 。 如 果 没 有 适当 的 内 网 基础 结构 设计 ，VPN 服务 器 可 能 无 法 完成 如 下 工作 。 
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”解析 网 络 中 的 设备 或 网 络 名 称 。 
”获取 内 网 可 到 达 的 IPv4 地 址 或 IPv6 子 网 前 级 。 
和 ”到达 内 网 中 的 指定 目标 。 


1. 内 网 名 称 解 析 


确保 每 台 VPN 服务 器 已 经 正确 配置 内 网 DNS 服务 器 的 IP 地 址 ,如 果 用 户 使 用 WINS 解析 内 网 NetBIOS 
名 称 ， 则 VPN 服务 器 还 需要 配置 内 网 WINS 服务 器 的 IPv4 地 址 。VPN 服务 器 应 该 手动 配置 DNS 服务 器 和 
WINS 服务 器 。 
作为 PPP 连接 协商 IPv4 过 程 的 一 部 分 ，VPN 客户 端 接收 DNS 和 WINS 服务 器 的 地 址 。 默 认 情 况 下 ， 
VPN 客户 端 继承 VPN 服务 器 上 配置 DNS 和 WINS 服务 器 地 址 ,在 PPP 连接 协商 完成 后 ,运行 Windows Server 
2008/2003 或 Windows XP/Vista 的 VPN 客户 端 发 送 DHCP 请 求 到 DHCP 服务 器 。 
如 果 VPN 服务 器 使 用 DHCP 配置 内 网 接口 (不 推荐 ]， 那 么 当 路 由 和 远程 访问 服务 器 向 导 运行 时 ，VPN 
服务 器 中 转 DHCP 请 求 到 DHCP 服务 器 。 如 果 VPN 服务 器 在 内 网 接口 中 使 用 静态 TCP/IP 配置 (推荐 )， 那 
么 DHCP 中 转 代 理 路 由 协议 组 件 必 须 使 用 至 少 一 个 DHCP 的 IPv4 地 址 进行 配置 。 用 户 可 以 添加 DHCP 服务 
器 的 IPv4 地 址 到 DHCP 中 转 代 理 路 由 协议 组 件 中 。 
为 了 动态 配置 VPN 连接 的 DNS 的 IPv6 地 址 , 基于 Windows Vista 或 Windows Server 2008 的 VPN 客 
户 端 依赖 VPN 服务 器 发 送 的 路 由 广播 消息 。 如 果 路 由 广播 消息 具有 其 他 状态 配置 信息 ， 则 VPN 客户 端 发 
送 DHCPv6 请 求 到 VPN 服务 器 。 如果 Windows Server 2008 VPN 服务 器 使 用 DHCPv6 中 转 代理 配置 ， 那 么 
Information-Request 消息 将 会 被 转发 到 DHCPv6 服务 器 。DHCPv6 中 转 消 息 转发 回 VPN 客户 端 ， 并 且 包 含 
DNS 服务 器 的 地 址 。 
管理 员 在 配置 VPN 服务 器 时 应 注意 如 下 问题 。 
和 ”预先 使 用 Ping 和 Net 工具 , 在 VPN 服务 器 上 测试 内 网 DNS 和 WINS 名 称 解析 的 连接 和 运行 情况 。 
如 果 名 称 解析 在 VPN 服务 器 上 不 能 正常 工作 ， 则 在 VPN 客户 端 上 也 无 法 工作 。 

”由 于 VPN 服务 器 的 内 网 接口 使 用 TCP/IP 手动 配置 ， 路 由 和 远程 访问 服务 器 安装 向 导 不 能 自动 配 
置 DHCP 中 转 代理 路 由 协议 组 件 。 用 户 必须 手动 添加 内 网 中 至 少 一 个 DHCP 服务 器 的 IP 地 址 到 
DHCP 中 转 代理 组 件 中 ， 和 否则 ，VPN 客户 端 不 会 接收 到 更 新 的 DNS 和 WINS 服务 器 的 地 址 。 

如果 用 户 拥 有 不 具有 DHCP、DNS 或 WINS 服务 器 的 单独 子 网 ， 则 必须 配置 DNS 服务 器 或 WINS 
服务 器 , 为 局 域 网 中 的 计算 机 和 VPN 客户 端 提供 名 称 解析 功能 , 或 者 启用 NetBIOS 广播 名 称 解 析 。 
为 了 启用 NetBIOS 广播 名 称 解 析 ， 在 “路 由 和 远程 访问 ”管理 单元 中 ,在 VPN 服务 器 的 属性 对 话 
框 的 “IPv4” 选 项 卡 中 ， 选 中 “启用 广播 名 称 解 析 ” 复 选 框 。 

”为 了 在 VPN 客户 端 和 DHCPv6 内 网 服务 器 之 间 转 发 DHCPv6 消息 , 必须 添加 和 配置 DHCPv6 中 转 

代理 路 由 协议 组 件 。 


注意 : 为 了 确保 VPN 客户 端 已 获得 最 新 的 DNS 和 WINS 服务 器 IPv4 地 址 列表 ， 应 手动 配置 路 由 和 远程 
访问 的 DHCP 中 转 代理 组 件 ， 而 不 是 依赖 VPN 服务 器 使 用 自己 的 DNS 和 WINS 服务 器 IPv4 地 址 配置 
VPN 客户 端 。 


2. 路 由 到 Internet 和 内 网 的 VPN 服务 器 


VPN 服务 器 可 以 看 作 一 台 特 殊 的 IP 路 由 器 ， 负 责 转发 VPN 客户 端 和 内 网 节 
须 使 用 可 以 到 达 Internet 和 内 网 任意 位 置 的 路 由 器 设置 来 进行 配置 。 对 于 IP 通信 


点 之 间 的 数据 包 。 所 以 必 
而 言 ，VPN 服务 器 需要 满 
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足 如 下 要 求 。 
于 默认 路 由 : 指向 防火 墙 或 直接 连接 Internet 的 路 由 器 ， 以 便 使 其 可 以 到 达 Internet 上 的 所 有 位 置 。 
里。 一 条 或 多 条 路 由 : 可 以 概括 内 网 中 使 用 的 地 址 ， 并 且 指 向 临近 内 网 的 路 由 器 ， 使 VPN 服务 器 可 以 
到 达 所 有 内 网 的 位 置 。 

对 于 指向 Internet 的 默认 路 由 ， 使 用 默认 网 关 配 置 VPN 服务 器 的 Internet 接口 ， 但 是 不 使 用 默认 网 关 
配置 内 网 接口 。 如 果 使 用 默认 网 关 配 置 内 网 接口 ， 则 用 户 将 会 在 VPN 服务 器 的 IPv4 和 IPv6 路 由 表 中 拥有 
多 个 默认 路 由 。 由 于 TCP/IP 协议 选择 默认 路 由 转发 默认 路 由 通讯 的 方式 , 拥有 多 个 默认 路 由 将 导致 默认 路 
由 通讯 被 转发 到 内 网 ， 使 得 Internet 位 置 不 可 到 达 。 

为 了 添加 内 网 路 由 到 VPN 服务 器 的 路 由 表 中 ， 应 完成 如 下 工作 。 

时 “使 用 “路 由 和 远程 访问 ”管理 单元 添加 耳 静态 路 由 。 用 户 不 必 为 内 网 中 的 每 个 子 网 都 添加 路 由 。 

通常 情况 下 ， 只 需要 添加 能 够 涵盖 内 网 所 使 用 的 IPv4 或 IPv6 地 址 的 路 由 即 可 。 

于。 如果 在 内 网 中 使 用 路 由 消息 协议 (RIP)， 则 用 户 可 以 添加 和 配置 路 由 和 远程 访问 服务 的 RIP 组 件 ， 

从 而 保证 VPN 服务 器 作为 RIP 路 由 器 参与 到 内 网 路 由 消息 传播 中 。 


提示 : 上 述说 明 是 针对 内 网 中 包含 多 个 子 网 或 VLAN 的 情况 而 言 的 。 如 果 内 网 中 只 有 一 个 子 网 ， 则 不 需 
要 更 多 的 配置 . 


3. 路 由 到 内 网 的 VPN 客户 端 


从 内 网 到 VPN 客户 端的 可 到 达 性 取决 于 如 何 配置 VPN 服务 器 使 其 获取 IP 地 址 , 并 分 配给 VPN 客户 端 。 
分 配给 VPN 客户 端的 IPv4 地 址 可 以 是 如 下 模式 之 一 。 

”On-subnet address range: VPN 服务 器 所 属 内 网 子 网 的 地 址 范围 。 

se Offsubnet address range: VPN 服务 器 逻辑 所 属 的 不 同 子 网 的 地 址 范围 。 

如 果 使 用 On-subnet address range 模式 , 则 不 需要 配置 其 他 路 由 , 因为 VPN 服务 器 可 以 作为 到 达 VPN 
客户 端的 所 有 数据 包 的 ARP 代理 。 在 VPN 服务 器 子 网 的 路 由 器 和 主机 转发 数据 包 到 VPN 客户 端 , 再 到 VPN 
服务 器 。 

如 果 使 用 Off-subnet address range 模式 ， 则 必须 在 子 网 路 由 基础 结构 中 ， 添 加 概括 子 网 地 址 范围 的 路 
由 ,保证 VPN 客户 端的 通讯 被 转发 到 VPN 服务 器 ， 然 后 从 VPN 服务 器 到 VPN 客户 端 为 了 提供 路 由 地 址 
范围 的 最 好 概括 ， 可 以 选择 使 用 单一 前 级 和 子 网 掩 码 表示 的 地 址 范围 。 

为 了 添加 涵盖 子 网 地 址 范围 的 路 由 到 内 网 的 路 由 基础 结构 中 , 需 添加 静态 路 由 到 VPN 服务 器 的 相 邻 路 
由 器 中 ， 配 置 相 邻 路 由 器 传播 该 静态 路 由 到 使 用 动态 路 由 协议 的 其 他 路 由 器 上 。 

如 果 内 网 包含 单独 的 子 网 ， 用 户 必须 为 子 网 地 址 范围 的 持续 路 由 配置 每 个 内 网 主机 ,或 者 使 用 VPN 服 
务 器 作为 默认 网 关 配置 每 个 内 网 主机 。 所 以 ， 对 于 包含 单独 子 网 的 SOHO 网 络 推荐 使 用 On-subnet address 
range 池 。 

对 基于 IPv6 的 VPN 连接 , 分 配给 路 由 器 广播 消息 中 的 VPN 客户 端的 子 网 前 级 总 是 属于 独立 于 VPN 服 
务 器 连接 的 子 网 。 所 有 分 配 了 相同 子 网 前 组 的 VPN 客户 端 ， 通常 都 是 使 用 Off-subnet address range。 为 了 
从 内 网 可 到 达 VPN 客户 端 ， 用 户 必 须 添加 子 网 前 级 作为 指向 VPN 服务 器 的 路 由 。 


4. 内 网 路 由 基础 结构 的 要 求 
VPN 服务 器 连接 的 内 网 路 由 结构 应 满足 如 下 要 求 。 
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和 ”使 用 默认 网 关 配 置 VPN 服务 器 的 Internet 接口 ， 但 不 要 使 用 默认 网 关 配 置 VPN 服务 器 的 内 网 
接口 。 

于。 添加 概括 内 网 地 址 的 IPv4 和 IPv6 路 由 到 VPN 服务 器 上 。 如 果 用 户 为 IPv4 动态 路 由 协议 使 用 
RIP， 则 配置 和 启用 VPN 服务 器 上 的 RIP 即 可 ; 如 果 用 户 使 用 路 由 协议 而 非 RIP, 那么 可 能 要 使 用 
路 由 重新 分 配 。 

日 ”为 VPN 客户 端 添加 IPv6 子 网 前 组 到 IPv6 路 由 基础 结构 中 ， 作 为 指向 VPN 服务 器 的 路 由 。 


提示 : 推荐 使 用 On-subnet address range 配置 VPN 服务 器 ， 通 过 DHCP 获取 IPv4 地 址 或 者 手动 配置 
On-subnet 地 址 池 。 


11.2.6 ”VPN 客户 端的 内 网 和 Internet 并 存 访问 


默认 情况 下 , 当 基 于 Windows 的 VPN 客户 端 建立 VPN 连接 时 , 会 自动 为 VPN 连接 添加 新 的 默认 路 由 ， 
并 且 修改 现 有 默认 路 由 ， 即 断 开 客户 端 计算 机 到 VPN 服务 器 之 外 的 所 有 其 他 Internet 连接 。 为 了 防止 创建 
新 的 默认 路 由 ， 用 户 可 以 配置 VPN 连接 不 使 用 远程 网 络 的 默认 网 关 。 
@ 在 “控制 面板 ”的 “网 络 连接 ”窗口 中 ， 右 击 VPN 网 络 连接 并 选择 “属性 ”命令 ， 打 开 “VPN 连 
接 属性 ”对 话 框 ， 切 换 到 “网 络 ” 选 项 卡 ， 双 击 “Internet 协议 版 本 (TCP/IPv4] ”项目 ， 弹 出 
“Internet 协议 版 本 4(TCP/IPv4) 属性 ”对 话 框 ， 如 图 11-2 所 示 。 
四 单 击 “ 高 级 ”按钮 ， 显 示 “ 高 级 TCP/IP 设置 ”对 话 框 。 切 换 到 “IP 设置 ”选项 卡 ， 取 消 选中 “在 
远程 网 络 上 使 用 默认 网 关 ” 复 选 框 即 可 ， 如 图 11-3 所 示 。 


划 | 
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图 11-2 “Internet 协议 版 本 4(TCP/IPv4) 属性 ”对 话 框 11-3 “高 级 TCP/IP 设置 ”对 话 框 


经 过 上 述 设置 后 ,在 建立 连接 时 将 不 会 创建 默认 路 由 。 但 是 ,符合 分 配 IPv4 地 址 的 Internet 地 址 类 的 
路 由 将 会 被 创建 。 例 如 ， 如 果 分 配 的 地 址 为 10.0.12.119， 那 么 基于 Windows 的 VPN 客户 端 会 使 用 子 网 掩 
码 255.0.0.0 为 地 址 前 组 10.0.0.0 创建 路 由 。 


“在 远程 网 络 上 使 用 默认 网 关 ” 选 项 的 功能 如 下 。 
于 ”如果 取消 选中 此 复 选 枉 ， 则 客户 端 计算 机 连接 到 VPN 服务 器 时 仍 可 以 访问 Internet， 除 了 符合 分 
配 IP 地 址 地 址 类 可 以 到 达 内 网 ， 其 他 的 则 不 可 到 达 内 网 。 
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里 ”如果 选中 此 复 选 框 ， 则 所 有 内 网 位 置 都 可 到 达 ， 除 了 VPN 服务 器 的 地 址 和 通过 其 他 路 由 的 可 以 到 
达 Internet， 其 他 的 则 不 可 到 达 Internet。 
对 于 大 部 分 连接 Internet 的 VPN 客户 端 , 这 种 行为 不 能 说 明 问题 , 因为 它们 通常 参与 内 网 或 Internet， 
而 不 是 参与 这 两 者 。 因 此 ， 系 统 默 认 选中 “在 远程 网 络 上 使 用 默认 网 关 ” 复 选 框 。 对 于 需要 并 存 访问 内 网 
和 Internet 资源 的 VPN 客户 端 ， 用 户 可 以 完成 如 下 操作 之 一 。 
a ”选中 “在 远程 网 络 上 使 用 默认 网 关 ” 复 选 框 ， 并 且 允 许 通过 企业 内 网 访问 Internet。 在 VPN 客户 
端 和 Internet 主机 之 间 的 Internet 通讯 将 会 穿 过 防火 墙 或 代理 服务 器 。 尽管 在 性 能 上 会 有 所 影响 ， 
但 是 当 VPN 客户 端 连 接着 企业 网 络 时 ， 这 种 方式 允许 Internet 访问 被 筛选 ， 并 且 根 据 企 业 网 络 策 
略 进行 监视 。 
里。 如 果 内 网 中 的 IPv4 寻 址 是 根据 单一 分 类 的 地 址 前 组， 则 可 以 取消 选中 “在 远程 网 络 上 使 用 默认 网 
关 ” 复 选 框 。 
里 如果 内 网 中 的 IPv4 寻 址 不 是 根据 单一 分 类 的 地 址 前 级 ， 则 用 户 可 以 使 用 如 下 解决 方式 。 
e ”无 等 级 静态 路 由 DHCP 选项 。 
e ”连接 管理 工具 。 
e 在 VPN 客户 端 上 的 命令 文件 。 


11.2.7 ”身份 验证 基础 结构 


身份 验证 是 贯穿 整个 VPN 连接 的 重要 操作 ， 主 要 分 布 于 VPN 服务 器 、 专 业 RADIUS 认证 服务 器 、 域 控 
制 器 、 证 书 颁发 机 构 (CA) 等 。 

1. Windows 身份 验证 

基于 Windows Server 2008 的 VPN 服务 器 可 以 配置 使 用 Windows 或 RADIUS 来 进行 身份 验证 或 记 账 。 
当 VPN 服务 器 使 用 Windows 进行 身份 验证 时 , 通过 与 域 控制 器 通信 执行 VPN 连接 的 身份 验证 。 当 VPN 服 
务 器 使 用 RADIUS 进行 身份 验证 时 ， 依 靠 RADIUS 服务 器 执行 身份 验证 和 授权 。 

当 VPN 服务 器 使 用 Windows 进行 身份 验证 时 ， 根 据 在 “网 络 策略 服务 器 ”管理 单元 中 的 “ 记 账 ” 节 
点 的 设置 ， 记 录 VPN 连接 信息 在 本 地 日 志文 件 中 (默认 情况 下 为 %SystemRoot%\System32\ 
Logfiles\Logfile.log)。 当 VPN 服务 器 使 用 RADIUS 进行 身份 验证 时 ， 依 靠 RADIUS 服务 器 记录 记 账 信息 。 

2. RADIUS 身份 验证 服务 器 

当 用 户 拥有 多 个 VPN 服务 器 或 者 其 他 类 型 访问 服务 器 ， 则 可 以 使 用 RADIUS 提供 集中 身份 验证 、 授 权 
和 记 账 服务 。 

如 果 使 用 RADIUS 和 Windows 域 作为 用 户 账 户 数据 库 ， 验 证 用 户 证 书 和 获取 拨号 属性 ， 那 么 用 户 应 该 
使 用 Windows Server 2008 中 的 NPS。NPS 是 一 种 全 功能 的 RADIUS 服务 器 和 代理 ， 可 与 活动 目录 和 路 由 
与 远程 访问 相 结合 。 

当 NPS 作为 RADIUS 服务 器 使 用 时 ， 可 完成 如 下 工作 。 

和 ”NPS 通过 与 域 控制 器 通信 来 执行 VPN 连接 的 身份 验证 。NPS 通过 NPS 服务 器 上 的 用 户 账户 和 网 

络 策略 的 拨号 属性 来 执行 连接 尝试 的 授权 。 
”默认 情况 下 , NPS 根据 在 “网 络 策略 服务 器 ”管理 单元 中 的 “ 记 账 ”节点 的 设置 , 记录 所 有 RADIUS 
记 账 信息 在 本 地 日 志文 件 中 (默认 情况 下 为 %SystemRoot%\System32\Logfiles\Logfile.log)。 
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11.2.8 VPN 客户 端 


VPN 客户 端 可 以 是 使 用 MPPE( 微 软 点 对 点 加 密 协 议 ) 加 密 创 建 PPTP 连接 的 计算 机 ,也 可 以 是 使 用 IPSec 
加 密 创建 L2TP 连接 的 计算 机 ， 还 可 以 是 使 用 SSL 加 密 创建 SSTP 连接 的 计算 机 。 运 行 Windows Vista、 
Windows Server 2008、Windows Server 2003 或 Windows XP 的 VPN 客户 端 可 以 创建 PPTP 或 基于 
L2TP/IPSec 的 VPN 连接 。 运 行 Windows Vista SP1 或 Windows Server 2008 的 VPN 客户 端 可 以 创建 基于 
SSTP 的 VPN 连接 。 用 户 可 以 手动 配置 或 者 通过 使 用 Windows Server 2008 的 连接 管理 器 组 件 来 配置 VPN 
客户 端的 VPN 连接 。 


1. 连接 管理 器 


Windows Server 2008 系统 集成 的 连接 管理 器 组 件 ([CM)， 可 以 大 大 简化 VPN 客户 端的 配置 过 程 ， 适 用 
于 IT 专 业 人 员 。 连 接管 理 器 包含 如 下 组 件 。 

ms 连接 管理 器 客户 端 拨号 盘 。 

连接 管理 器 工具 。 

于 “连接 点 服务 。 

(D 连接 管理 器 客户 端 拨号 盘 

连接 管理 器 客户 端 拨号 盘 是 安装 在 每 个 VPN 客户 端 上 的 软件 , 它 包含 的 高 级 功能 使 其 成 为 基本 远程 访 
问 网 络 的 扩展 。 同 时 ，CM 客户 端 拨号 盘 为 用 户 简化 了 连接 过 程 。 它 限制 了 用 户 可 以 更 改 的 配置 选项 数量 ， 
确保 用 户 可 以 总 是 连接 成 功 。 例 如 ，CM 客户 端 拨号 盘 可 以 完成 如 下 操作 。 
使 用 定制 图 表 、 符 号 、 信 息 和 帮助 。 
在 VPN 连接 建立 之 前 自动 创建 拨号 连接 。 
在 各 种 连接 过 程 中 运行 常用 动作 。 
对 于 拨号 连接 ， 从 使 用 的 电话 号 码 列表 中 根据 物理 位 置 选择 。 

定制 的 CM 客户 端 拨号 盘 配 置 文件 , 是 由 网 络 管理 员 使 用 连接 管理 工具 (CMAK) 创 建 的 可 执行 文件 。 CM 
配置 文件 通过 CD-ROM、E-mail、Web 站 点 或 文件 共享 分 布 于 VPN 用 户 。 当 用 户 运 行 CM 配置 文件 时 ， 它 
会 自动 配置 定制 拨号 或 VPN 连接 。CM 配置 文件 不 需要 指定 Windows 的 版 本 ， 适 用 于 Windows Vista、 
Windows Server 2008、Windows Server 2003 或 Windows XP 的 计算 机 配置 连接 。 

(2] 连接 管理 工具 
用 户 可 以 通过 使 用 CMAK 来 创建 定制 CM 配置 文件 。 使 用 CMAK， 用 户 可 以 配置 客户 端 拨号 软件 ， 通 
过 使 用 指定 连接 功能 来 允许 用 户 连接 网 络 。CM 配置 文件 支持 多 种 功能 ， 包 含 简 化 和 加 强 版 的 连接 执行 。 
CMAK 允许 用 户 建立 CM 配置 文件 ， 定 制 CM 客户 端 拨号 盘 ， 以 保证 连接 反映 企业 的 个 性 。 

(3] 连接 点 服务 

对 于 拨号 CM 配置 文件 ， 连 接点 服务 (CPS) 允 许 用 户 自动 分 配 和 更 新 电话 夭 。 这 些 电 话 簿 包含 一 个 或 多 
个 到 场 点 (POP) 条 目 ， 每 个 POP 都 提供 一 个 电话 号 码 对 内 网 拨号 访问 ， 或 者 访问 Internet 访问 点 。 电 话 竹 
为 用 户 提 供 完 整 的 POP 信息 ， 保 证 用 户 旅 行 时 可 以 连接 不 同 的 Internet 访问 点 。 

如 果 没 有 自动 更 新 电话 簿 的 能 力 ， 用 户 将 会 需要 联系 企业 的 技术 支持 ， 更 改 POP 信息 ， 并 且 重 新 配置 
客户 端 拨号 盘 软 件 。 


[4121 


CPS 包含 如 下 两 个 组 件 。 

m ”电话 短 管 理 员 :一 种 创建 和 维护 电话 德 数据 库 ， 并 发 布 新 的 电话 短信 息 到 电话 短 服 务 的 工具 。 

mm 。 电话 短 服 务 : IIS 7.0 的 扩展 。CM 配置 文件 可 以 配置 用 来 检查 在 指定 IIS 服务 器 上 运行 的 电话 短 服 
务 ， 确 保 使 用 最 新 的 电话 短 ， 否 则 ， 远 程 访问 客户 端 会 自动 下 载 电话 短 更 新 。 

2. VPN 客户 端的 设计 原则 

部 署 VPN 客户 端 时 应 遵循 如 下 原则 。 

如 果 VPN 客户 端 数量 较 少 ， 则 可 以 在 每 台 计 算 机 上 执行 VPN 连接 的 手动 配置 。 

和 ”如果 VPN 客户 端 数 量 较 多 ,或 者 分 别 运 行 着 不 同 Windows 版 本 , 则 建议 使 用 Windows Server 2008 
的 CM 组 件 创建 包含 VPN 配置 设置 的 CM 配置 文件 , 并 且 对 于 拨号 连接 , 需要 维护 电话 簿 数据 库 。 

”对 于 L2TP/IPSec 连接 ， 用 户 必须 在 VPN 客户 端 计算 机 上 安装 计算 机 证 书 。 

时 “对 于 PEAP-TLS 或 EAP-TLS 身份 验证 方式 ， 必 须 在 VPN 客户 端 上 安装 用 户 证 书 , 或 者 为 用 户 发 布 
智能 卡 。 

和 ”对 于 SSTP 连接 ， 用 户 必须 确保 VPN 客户 端 安装 了 VPN 服务 器 的 计算 机 证 书 的 发 布 CA 的 根 CA 
证 书 。 

里 “对 于 PEAP-MS-CHAP v2 或 PEAP-TLS 身份 验证 方式 ,如 果 VPN 客户 端 验证 了 认证 服务 器 的 证 书 ( 推 
荐 ), 那么 用 户 必须 确保 VPN 客户 端 安装 了 身份 验证 服务 器 的 计算 机 证 书 的 发 布 CA 的 根 CA 证 书 。 


和 .2.9， PKI 


PKI(Public Key Infrastructure， 公 和 钥 基础 设施 ) 是 基于 公开 密 钥 理论 和 技术 建立 起 来 的 安全 体系 ， 是 提 
供 信息 安 全 服务 具有 普遍 性 的 安全 基础 设施 。 在 VPN 连接 中 , 可 以 为 L2TP 连接 指定 基于 证 书 的 身份 验证 ， 
为 使 用 PEAP-TLS 或 EAP-TLS 的 VPN 连接 执行 智能 卡 或 用 户 证 书 身份 验证 。 对 于 基于 PEAP-MS-CHAP v2 
的 身份 验证 和 基于 SSTP 的 VPN 连接 ， 不 需要 PKI， 可 以 从 第 三 方 证 书 颁发 机 构 获得 证 书 ， 安 装 在 身份 验 
证 服务 器 或 VPN 服务 器 上 。 用 户 也 可 能 需要 分 配 第 三 方 计算 机 证 书 的 根 CA 和 中 间 CA 证 书 给 VPN 客户 端 
计算 机 。 

1. L2TP/IPSec 连接 的 计算 机 证 书 

当 用 户 为 L2TP/IPSec 连接 使 用 证 书 身份 验证 方式 时 ， 证 书 颁发 机 构 (CA) 的 列表 是 不 可 配置 的 。 每 个 
IPSec 端 从 接收 证 书 身份 验证 的 地 方 发 送 根 CA 的 列表 ， 列 表 中 的 根 CA 与 发 布 计算 机 证 书 的 根 CA 相符 合 。 


例如 ， 如 果 计 算 机 A 通过 根 CA CerAuth1 和 CerAuth2 来 发 布 计算 机 证 书 ， 则 它 会 通知 IPSec 端 只 能 从 
CerAuthl 和 CerAuth2 处 接收 身份 验证 证 书 : 如果 计算 机 B 没有 有 效 的 计算 机 证 书 ，IPSec 协商 将 会 失败 。 


VPN 客户 端 必 须 安 装 了 有 效 的 计算 机 证 书 ， 该 证 书 由 VPN 服务 器 信任 的 根 CA 的 证 书 链 中 的 CA 发 布 。 
此 外 ，VPN 服务 器 必须 安装 了 VPN 客户 端 信任 的 根 CA 的 证 书 链 中 的 CA 发 布 的 计算 机 证 书 。 

企业 通常 拥有 单一 根 CA 和 一 个 或 多 个 发 布 计算 机 证 书 的 根 CA 的 发 布 CA。 由 于 此 原因 ， 企 业 中 的 所 
有 计算 机 必须 拥有 证 书 链 CA 发 布 的 有 效 的 计算 机 证 书 ， 以 及 相同 单一 根 CA 的 发 布 CA 的 请 求证 书 。 

2. 智能 卡 的 PKI 

智能 卡 的 使 用 是 Windows Server 2008 中 用 户 身份 验证 最 安全 的 方式 。 对 于 远程 访问 VPN 连接 ， 用 户 
可 以 使 用 带 有 EAP-TLS 或 PEAP-TLS 身份 验证 方式 的 智能 卡 。 个 人 智能 卡 分 配 的 用 户 需 要 在 计算 机 上 拥有 
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智能 卡 读 卡 器 。 登 录 计算 机 时 ， 需 要 将 智能 卡 插入 读 卡 器 中 ， 并 输入 智能 卡 个 人 识别 码 。 
3. 用 户 证 书 的 PKI 


当 用 户 具 有 智能 卡 并 且 指定 使 用 个 人 识别 码 登录 计算 机 时 ，Windows 系统 中 用 于 用 户 身份 验证 的 用 户 
证 书 可 以 代替 智能 卡 ， 不 过 这 种 方式 的 安全 性 较 低 。 


11.2.10 NAP 的 VPN 强制 


Windows Server 2008、Windows Vista 和 Windows XP SP3 系统 中 的 网 络 访问 保护 (NAP) 组 件 , 可 以 帮 
助 用 户 强制 网 络 访问 或 通信 的 健康 策略 的 符合 性 。 管 理 员 可 以 创建 验证 计算 机 的 解决 方案 ， 提 供 更 新 或 访 
问 必要 的 资源 ， 并 且 限 制 不 符合 的 计算 机 访问 网 络 。 

VPN 强制 是 NAP 强制 方式 的 一 种 。 使 用 VPN 强制 ， 在 允许 完全 访问 内 网 之 前 ， 远 程 访问 客户 端 必须 
与 系统 健康 要 求 相 符合 。 如 果 VPN 客户 端 与 系统 健康 要 求 不 符合 ， 则 只 能 访问 受 限 网 络 ， 其 中 包含 可 以 将 
VPN 客户 端 更 新 为 符合 健康 策略 的 修补 服务 器 。VPN 服务 器 通过 IP 数据 包 筛 选 器 来 强制 受 限 访问 。 在 更 正 
了 健康 状态 之 后 ，VPN 客户 端 再 次 验证 健康 状态 ， 如 果 符 合 ， 则 限制 访问 的 IP 数据 包 筛 选 器 将 被 删除 。 

VPN 强制 操作 仅 适 用 于 基于 Windows Server 2008 的 VPN 服务 器 ， 并 且 使 用 基于 PEAP 的 身份 验证 
方 或 


11.3 配置 基于 VPN 的 远程 访问 


一 个 基本 的 VPN 远程 连接 应 包含 3 个 基本 部 分 ， 即 VPN 服务 器 、 身 份 验证 机 构 和 VPN 客户 端 。 其 中 ， 
VPN 服务 器 和 VPN 客户 端 是 必 不 可 少 的 ， 而 身份 验证 方式 是 确保 远程 连接 安全 的 重要 手段 ， 如 数字 证 书 、 
Windows 身份 验证 、 RADIUS 身份 验证 等 。 为 了 便于 和 网 络 中 的 其 他 服务 器 协同 工作 , 建议 在 域 中 部 署 VPN 
服务 器 和 其 他 身份 验证 服务 器 。 


11.3.1 配置 证 书 


数字 证 书 是 确保 VPN 安全 连接 和 传输 的 重要 元 素 。 用 户 可 以 将 数字 证 书 颁 发 机 构 [CA) 部 署 在 VPN 服务 
器 或 域 控制 器 上 ， 也 可 以 单独 部 署 。 但 是 ， 如 果 VPN 和 CA 共用 一 台 服 务 器 ， 偶 尔 会 产生 无 法 颁发 证 书 的 
错误 ， 因 此 ， 建 议 在 域 控制 器 上 部 署 CA。 数 字 证 书 和 VPN 支持 的 加 密 协议 协同 工作 ， 可 实现 如 下 安全 功能 。 
和 结合 数字 证 书 的 L2TP/IPSec 加 密 连 接 。 用 户 必须 为 每 台 VPN 客户 端 计算 机 和 VPN 服务 器 准备 所 
需 的 计算 机 证 书 。 需 要 注意 的 是 ，L2TP/IPSec 连接 的 预 共享 密 钥 身 份 验证 是 一 种 较 不 安全 的 认证 
方式 ， 不 推荐 使 用 。 
里 使 用 智能 卡 或 用 户 证 书 的 EAP-TLS 或 PEAP-TLS 的 身份 验证 。 用 户 必 须 为 每 台 VPN 客户 端 准 备 智 
能 卡 或 用 户 证 书 ， 每 台 认 证 服务 器 都 需要 计算 机 证 书 。 
于 “PEAP-MS-CHAP v2 身份 验证 。 每 台 认 证 服务 器 都 需要 计算 机 证 书 , 并 且 每 台 VPN 客户 端 都 需要 安 
装 认证 服务 器 的 计算 机 证 书 的 证 书 链 。 
时。 SSTP 安全 。 用 户 必须 为 VPN 服务 器 准备 证 书 ， 并 且 为 每 台 VPN 客户 端 准备 VPN 服务 器 计算 机 证 
书 的 发 布 CA 的 根 CA 证 书 。 
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1. 配置 计算 机 证 书 


CA 的 安装 过 程 比较 简单 ， 这 里 不 作 详 细 介 绍 。 本 例 中 将 CA 部 署 在 域 控制 器 上 ，VPN 连接 中 应 用 的 所 
有 计算 机 证 书 和 用 户 账户 证 书 ， 均 由 此 CA 颁发 。 通 常情 况 下 ， 管 理 员 可 以 使 用 如 下 方式 在 VPN 客户 端 、 
VPN 服务 器 或 认证 服务 器 上 安装 计算 机 证 书 。 
为 活动 目录 域 的 计算 机 配置 计算 机 证 书 的 自动 注册 。 
使 用 “证 书 ” 管 理 单元 请 求 计算 机 证 书 。 
使 用 “证 书 ” 管 理 单元 导入 计算 机 证 书 。 
通过 Web 申请 证 书 。 
执行 CAPICOM 脚本 申请 计算 机 证 书 。 

2. 配置 根 CA 证 书 

如 果 用 户 正在 使 用 PEAP-MS-CHAP v2 身份 验证 或 SSTP 加 密 连接 ， 则 还 需要 配置 根 CA 证 书 。 

如 果 用 户 使 用 PEAP-MS-CHAP v2 身份 验证 方式 ， 则 可 能 需要 在 VPN 客户 端 上 安装 认证 服务 器 所 使 用 
的 计算 机 证 书 的 根 CA 证书。 如果 认 证 服务 器 所 使 用 的 计算 机 证 书 的 根 CA 证 书 已 经 安装 在 VPN 客户 端 上 ， 
则 不 需要 其 他 配置 。 

如 果 用 户 使 用 SSTP 连接 , 那么 可 能 需要 安装 VPN 服务 器 所 使 用 的 计算 机 证 书 的 根 CA 证 书 。 如 果 VPN 
服务 器 所 使 用 的 计算 机 证 书 的 根 CA 证 书 已 经 安装 在 VPN 客户 端 上 ， 那 么 就 不 需要 其 他 的 配置 了 。 

确认 VPN 服务 器 和 客户 端 均 已 安装 根 CA 证 书 ， 即 同时 信任 此 证 书 颁 发 机 构 。 在 VPN 服务 器 上 ， 使 用 
计算 机 证 书 管理 控制 台 ， 查 看 是 否 已 经 获得 证 书 服务 器 的 根 CA 证 书 ， 并 安装 在 “受信 任 的 根 证 书 颁 发 机 
构 ” 中 ， 如 图 11-4 所 示 。 


国 控制 各 要 节点 
日 筷 证 书 体 地 计 基 
园 个 人 


图 11-4 检查 VPN 服务 器 上 的 根 CA 证 书 
VPN 客户 端 同样 需要 安装 证 书 服务 器 的 根 CA 证 书 , 确认 方法 与 VPN 服务 器 完全 相同 , 这 里 不 复 歼 述 。 
3. 配置 用 户 证 书 


用 户 账户 证 书 主要 用 于 确认 拨 入 VPN 服务 器 时 使 用 的 用 户 账户 的 有 效 性 ， 获 取 方 式 与 计算 机 证 书 完全 
相同 ， 此 处 不 复 袭 述 。 需 要 注意 的 是 ， 客 户 端 验证 是 否 获取 证 书 时 ， 需 要 在 MMC 控制 台中 添加 “用 户 账 
户 ” 证 书 控制 台 ， 与 计算 机 证 书 略 有 不 同 。 
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@ 安全 内 莫 


11.3.2 ”配置 Internet 基础 结构 


在 配置 远程 访问 服务 器 之 前 ,应 事先 做 好 Internet 基础 结构 的 准备 工作 ,例如 加 入 域 安 装 并 配置 DHCP 
服务 器 等 。 同 时 ， 远 程 访问 服务 器 上 需要 安装 两 块 网 卡 ， 一 块 网 卡 设置 内 网 地 址 ， 用 来 连接 局 域 网 ， 另 一 
块 设置 公 网 地 址 ， 用 来 连接 Internet。 


1. 设置 IP 地 址 


VPN 服务 器 需要 安装 两 块 网 卡 ， 一 块 连接 局 域 网 ， 另 一 块 用 来 连接 Internet， 供 远程 用 户 拨 入 局 域 网 。 
为 连接 局 域 网 的 本 地 连接 设置 局 域 网 IP 地 址 ， 如 图 11-5 所 示 。DNS 服务 器 设置 为 域 控制 器 的 IP 地 址 ， 用 
来 加 入 域 。 

将 另 一 个 连接 Internet 的 本 地 连接 的 IP 地 址 设置 为 mternet 上 有 效 的 卫 地 址 ， 如 图 11-6 所 示 。 


图 11-5 设置 内 网 IP 地 址 图 11-6 设置 外 网 IP 地 址 


2. 加 入 域 


配置 VPN 远程 访问 之 前 ， 应 将 VPN 服务 器 加 入 到 域 。 首 先 将 VPN 服务 器 的 DNS 服务 器 地 址 指向 域 控 
制 器 ， 然 后 在 “服务 器 管理 器 ”窗口 中 ， 单 击 “ 更 改 系统 属 
性 ”链接 ， 打 开 “ 系 统 属性 ”对 话 框 。 切 换 到 “计算 机 名 ” 
选项 卡 ， 单 击 “ 更 改 ” 按 钮 ， 弹 出 如 图 11-7 所 示 的 “计算 
机 名 / 域 更 改 ” 对 话 框 ， 选 择 “ 域 ” 单 选 按钮 ， 并 输入 域名 。 
单 击 “ 确 定 ” 按 钮 ， 显 示 “Windows 安全 ”对 话 框 ， 在 “用 
户 名 ”和 “密码 ”文本 框 中 ， 输 入 具有 加 入 域 权限 的 用 户 名 
和 密码 即 可 。 

单 击 “ 确 定 ” 按 钮 即 可 加 入 域 。 根 据 系统 提示 重新 启动 
系统 ， 使 用 域 用 户 账户 登录 即 可 。 


3. 安装 并 设置 DHCP 服务 器 


当 远 程 客户 端 拨 入 局 域 网 以 后 , 需要 获得 相应 的 局 域 网 图 11-7 “计算 机 名 / 域 更 改 ”对 话 框 
IP 地 址 ， 才 能 访问 局 域 网 中 的 资源 ， 因 此 ， 需 要 在 网 络 中 部 署 DHCP 服务 器 ， 创 建 作用 域 并 启用 网 络 访问 
保护 。 需 要 注意 的 是 ， 一 定 要 进行 授权 ， 否 则 无 法 向 客户 端 分 配 IP 地 址 。 另 外 ， 如 果 不 想 安装 DHCP 服务 
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器 ， 也 可 以 在 配置 “路 由 和 远程 服务 器 ”的 过 程 中 设置 分 配给 客户 端的 IP 地 址 范围 。 


11.3.3 ”赋予 域 用 户 账户 远程 访问 权限 


在 域 控制 器 上 , 依次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”命令 , 打开 “Active 
Directory 用 户 和 计算 机 ”窗口 。 双 击 希望 用 于 VPN 远程 访问 的 用 户 账户 (以 vpn 用 户 为 例 ), 打开 如 图 11-8 
所 示 的 “vpn 属性 ”对 话 框 。 在 “ 拨 入 ”选项 卡 中 的 “网 络 访问 权限 ”选项 区 域 ， 选 择 “ 允 许 访问 ” 单 选 
按钮 ， 其 他 选项 保持 默认 设置 。 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


图 11-8 “vpn 属性 ”对 话 框 


11.3.4 安装 和 配置 VPN 服务 器 


VPN 服务 器 用 来 提供 拨 入 功能 ， 供 远程 计算 机 用 户 拨 入 公司 局 域 网 。 不 过 ，VPN 服务 可 以 与 网 络 策略 
服务 器 配合 使 用 ， 对 拨 入 的 客户 端 用 户 进行 验证 ， 只 有 通过 网 络 安全 验证 的 计算 机 才 人 允许 访问 网 络 。VPN 
服务 器 上 需要 安装 两 块 网 卡 ， 一 块 网 卡 设置 内 网 地 址 ， 用 来 连接 局 域 网 ， 另 一 块 设置 公 网 地 址 ， 用 来 连接 
Internet。 另 外 ， 如 果 希 望 使 用 L2TP/IPSec 或 SSTP 安全 连接 ， 还 必须 为 VPN 服务 器 安装 计算 机 证 书 。 


1. 安装 远程 访问 服务 


@ 单 击 “ 添 加 角色 向 导 ” 链 接 ， 在 打开 的 “选择 服务 器 角色 ”界面 中 ， 选 中 “网 络 策略 和 访问 服务 ” 
角色 ， 如 图 11-9 所 示 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-10 所 示 的 “网 络 策略 和 访问 服务 ”界面 ， 其 中 显示 了 网 络 策 
略 和 访问 服务 的 简介 信息 。 

图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-11 所 示 的 “选择 角色 服务 ”界面 。 由 于 只 配置 VPN 服务 器 ， 
因此 ， 选 中 “路 由 和 远程 访问 服务 ” 复 选 框 即 可 。 
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图 11-9 “选择 服务 器 角色 ”界面 


图 11-10 “网 络 策略 和 访问 服务 ”界面 


图 11-11 “选择 角色 服务 ”界面 
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图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-12 所 示 的 “确认 安装 选择 ”界面 ， 在 此 显示 了 将 要 安装 的 角色 。 


图 11-12 “确认 安装 选择 ”界面 
回 单 击 “ 安 装 ”按钮 ， 开 始 安装 。 完 成 后 显示 如 图 11-13 所 示 的 “安装 结果 ”界面 。 


图 11-13 “安装 结果 ”界面 


单 击 “ 关 闭 ” 按 钮 ， 远 程 访问 服务 安装 完成 。 
2. 配置 路 由 和 远程 访问 服务 


远程 访问 服务 安装 完成 后 ， 默 认 并 没有 启动 ， 需 要 启用 路 由 和 远程 访问 功能 。 同 时 ， 由 于 VPN 强制 需 
要 将 远程 拨 入 的 用 户 向 NPS 服务 器 进行 身份 验证 ， 以 检查 远程 计算 机 是 否 符合 策略 要 求 ， 因 此 ， 还 必须 配 
置 RADIUS 服务 器 。 
@ 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “路 由 和 远程 访问 ”命令 ,打开 “路 由 和 远程 访问 ”控制 台 
窗口 ， 如 图 11-14 所 示 ， 默 认 没 有 启用 路 由 和 远程 访问 功能 。 
回 右 击 服务 器 名 并 选择 快捷 菜单 中 的 “配置 并 启用 路 由 和 远程 访问 ”命令 ， 启 动 “ 路 由 和 远程 访问 
服务 器 安装 向 导 ”， 如 图 11-15 所 示 。 
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吉安 区 向导 
丈 迎 位 用 路 市 和 远程 访问 题 务 莹 安 半 向导 
要 em 
be 欢迎 使 用 路 由 和 远程 访问 计生 "下 一 却 " 
路 起 和 运程 访问 担 具 于 专用 由 后 的 去 全 远程 访问 。 
使 用 路 让 和 充 程 访问 配置 下 弛 内容: 
“两 个 专用 PR 后 之 司 的 安全 连 控 。 
“点 报 专 用 R 招 轨 避 网 关 * 
“ 捞 呈 运程 询 a9 秀 基 。 
“网络 地 | 辕 樟 Gm) > 
“路由 = 
“ 至 本 防火 墙 = 
于 点 自 福 到 得 访问 服务 党 ， 请 在 “操作 ” 荣 单 上 , 单 十 “二 
让 部 于 情况 及 先 玲 办 车 的 评 红 售 
习 Oy 
[ T Ew | 
图 11-14 “路 由 和 远程 访问 ”窗口 图 11-15 ”路 由 和 远程 访问 服务 器 安装 向 导 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-16 所 示 的 “配置 ”界面 ， 其 中 提供 了 多 种 方式 来 实现 远程 访 
问 。 这 里 选择 “远程 访问 (拨号 或 VPN)” 单 选 按钮 。 
图 单 击 “ 下 一 步 ” 按 钮 ， 显示 如 图 11-17 所 示 的 “远程 访问 ”界面 。 由 于 现在 使 用 VPN 连接 ， 因 此 ， 
选中 VPN 复 选 框 ， 使 远程 客户 端 可 以 通过 Internet 利用 VPN 拨号 连接 到 此 服务 器 。 
[BR EIT EE 
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图 11-16 “配置 ”界面 图 11-17 “远程 访问 ”界面 


回 单 击 “ 下 一 步 ” 按 钮 ， 显示 如 图 11-18 所 示 的 “VPN 连接 ”界面 。 配置 VPN 远程 访问 服务 器 至 少 
需要 提供 两 块 网 卡 ， 即 一 块 连接 Internet， 响 应 远程 用 户 的 访问 ， 另 一 块 用 于 连接 内 网 。 在 “网 
络 接口 ”列表 框 中 选择 此 服务 连接 到 Internet 的 连接 即 可 。 


提示 : 默认 选中 “通过 设置 静态 数据 包 筛选 器 来 对 选择 的 接口 进行 保护 ” 复 选 框 ， 只 有 使 用 VPN 方式 时 ， 
才能 与 所 选择 的 本 地 连接 通信 ， 其 他 任何 方式 都 不 能 通过 该 本 地 连接 通信 。 如果 VPN 服务 器 需要 通过 该 
连接 来 连接 Intemet 或 其 他 服务 器 ， 则 可 取消 选中 该 复 选 框 。 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-19 所 示 的 “JP 地 址 分 配 ” 界 面 ， 指 定 远程 客户 端 获 得 人 P 地 址 
的 方式 。 由 于 网 络 中 已 经 配置 了 DHCP 服务 器 ， 因 此 ， 选 择 “自动 ” 单 选 按钮 ， 使 客户 端 自动 从 DHCP 服 
务 器 获得 他 地 址 即 可 。 否 则 ， 需 要 选择 “来 自 一 个 指定 的 地 址 范围 ” 单 选 按钮 并 设置 欲 分 配 的 下 范围 。 

@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-20 所 示 的 “管理 多 个 远程 访问 服务 器 ”界面 。 由 于 配置 VPN 
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强制 要 求 设置 RADIUS 服务 器 ， 因 此 ， 选 择 “是 ， 设 置 此 服务 器 与 RADIUS 服务 器 一 起 工作 ” 单 
选 按钮 。 


ER Intel TN/IOD JSZ 155 5 


a 


图 11-18 “VPN 连接 ”界面 图 11-19 “IP 地 址 分 配 ” 界 面 


提示 : 如 果 仅仅 提供 VPN 功能 ， 而 不 使 用 网 络 访问 保护 功能 ， 可 选择 “ 否 ， 使 用 路 由 和 远程 访问 来 对 连 
接 请 求 进行 身份 验证 ” 单 选 按钮 


单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-21 所 示 的 “RADIUS 服务 器 选择 ”界面 。 在 “ 主 RADIUS 服务 
器 ”文本 框 中 ， 输 入 要 为 远程 用 户 进行 身份 验证 的 RADIUS 服务 器 地 址 。 由 于 NPS 服务 器 即 是 
RADIUS 服务 器 ， 因 此 ， 输 入 NPS 服务 器 地 址 即 可 。 
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图 11-20 “管理 多 个 远程 访问 服务 器 ”界面 图 11-21 “RADIUS 服务 器 选择 ”界面 


图 单 击 “下 一 步 ” 按 钮 显示 如 图 11-22 所 示 的 “正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 ” 界 面 ， 
“摘要 ”信息 框 中 显示 了 当前 所 作 的 设置 ， 单 击 “ 上 一 步 ”按钮 可 返回 修改 。 

四 单 击 “ 完 成 ”按钮 ， 显 示 如 图 11-23 所 示 的 “路 由 和 远程 访问 ”提示 框 。 提 示 用 户 在 设置 远程 访 
问 服务 器 以 后 ， 需 要 再 指定 DHCP 服务 器 的 IP 地址。 

@@ ” 单 击 “ 确 定 ”按钮 ， 启 动 路 由 和 远程 访问 功能 ， 并 返回 “路 由 和 远程 访问 ”控制 台 ， 如 图 11-24 
所 示 。 
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图 11-22 “正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 ” 界 面 图 11-23 提示 框 


此 服务 器 上 配置 了 路 由 和 远程 访问 


i 
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全 兄 及 后 法币 的 二 妇 信 


图 11-24 “路 由 和 远程 访问 ”控制 台 


11.3.5 配置 RADIUS 服务 器 


在 早期 版 本 的 Windows Server 系统 中 ,RADIUS 服务 器 是 基于 IAS 身份 验证 服务 的 ;在 Windows Server 
2008 系统 中 ， 该 角色 是 基于 NPS 服务 的 。 建 议 用 户 添加 RADIUS 客户 端 到 符合 VPN 服务 器 的 NPS 服务 器 
中 ， 使 用 RADIUS 进行 VPN 连接 的 身份 验证 、 授 权 和 记 账 。 


1. 配置 RADIUS 身份 认证 方式 


在 “路 由 和 远程 访问 ”控制 台中 ， 右 击 VPN 服务 器 名 ， 选 择 快 捷 菜 单 中 的 “属性 ”命令 ， 打 开 服 务 器 
的 属性 对 话 框 ， 切 换 到 “安全 ”选项 卡 ， 确 认 在 “身份 验证 提供 程序 ”下 拉 列 表 框 中 选择 “RADIUS 身份 验 
证 ”选项 ， 如 图 11-25 所 示 。 

单 击 “ 身 份 验证 方法 ”按钮 ， 弹 出 如 图 11-26 所 示 的 “身份 验证 方法 ”对 话 框 ， 确 保 已 选中 “可 扩展 
的 身份 验证 协议 ”和 “Microsoft 加 密 身份 验证 版 本 2” 复 选 框 ， 依 次 单 击 “ 确 定 ” 按 钮 ， 保 存 并 返回 “路 
由 和 远程 访问 ”窗口 。 

2. 在 网 络 策略 中 授权 VPN 远程 访问 

默认 情况 下 ，VPN 服务 器 上 的 NPS 策略 是 关闭 的 ， 并 且 禁 止 任何 远程 访问 。 管 理 员 需 要 在 网 络 策略 服 
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务 器 上 启用 该 策略 ， 并 授予 远程 访问 VPN 的 访问 权限 。 
@ 打开 “网 络 策略 服务 器 ”窗口 ， 依 次 展开 “策略 ”一 “网 络 策略 ”， 如 图 11-27 所 示 。 


图 11-25 “安全 ”选项 卡 图 11-26 “身份 验证 方法 ”对 话 框 


图 11-27 展开 “网 络 策略 ” 


加 双击 名 为 “到 Microsoft 路 由 和 远程 访问 服务 器 的 连接 ”的 网 络 策略 ， 显 示 如 图 11-28 所 示 的 “到 
Microsoft 路 由 和 远程 访问 服务 器 的 连接 属性 ”对 话 框 。 在 “概述 ”选项 卡 中 的 “访问 权限 ” 选 
项 区 域 中 选择 “授予 访问 权限 ” 单 选 按钮 。 在 “网 络 连接 方法 ”选项 区 域 的 “网 络 访问 服务 器 的 
类 型 ”下 拉 列 表 框 中 ， 选 择 “远程 访问 服务 器 (VPN-Dail up) ”选项 。 

图 单 击 “ 确 定 ”按钮 ， 保 存 配置 。 


3. 配置 远程 访问 VPN 连接 策略 
连接 策略 主要 用 于 确保 VPN 客户 端 系统 的 健康 程度 ， 昌 不 是 VPN 连接 的 必要 操作 ， 但 正确 配置 之 后 
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可 以 大 大 增强 VPN 连接 的 可 靠 性 和 安全 性 。 
@ 打开 “网 络 策略 服务 器 ” 


窗口 ， 单 击 NPS， 显 示 “ 入 门 ” 


页 面 。 在 “标准 配置 ”下 ， 从 下 拉 列 表 


框 中 选择 “用 于 拨号 或 VPN 连接 的 RADIUS 服务 器 ”选项 ， 单 击 “ 配 置 VPN” 超 级 链接 ， 显 示 如 
图 11-29 所 示 的 “选择 拨号 或 虚拟 专用 网 络 连接 类 型 ”界面 。 选 择 “ 虚 拟 专用 网 络 (VPN) 连 接 ” 


单 选 按钮 ， 输 入 新 NPS 网 络 策略 的 名 称 。 
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re 您 可 以 使 用 味 认 并 本 ， 也 司 以 修 gr 已 
的 短 球 用 户 椒 户 的 略 入 属性 区 )* a oR 执行 和 全; 直译 全 间 户 了 | 
网 靖 六 搁 方 法 
造 捍 向 卫 3 发生 这 二 有 有 不 和 加 访问 职务 关内 型 。 加 可 以 选 失 网 各 访问 各 务 各 9 半 型 ， 也 梧 忆 远 择 供 应 丙 桂 定 的 半 吾 。 
个 网 这 访问 相 东 癌 的 共生 区 ); 
En 
个 烘 东 责 尾 定 (0 
[ee 
-一 ED Tr | 
图 11-28 “到 Microsoft 路 由 和 远程 访问 服务 器 的 11-29 “选择 拨号 或 虚拟 专用 网 络 连接 类 型 ” 界面 
连接 属性 ”对 话 框 
@ 单 击 “ 下 一 


步 ” 按 钮 ， 显 示 如 图 11-30 所 示 的 “指定 拨号 或 VPN 服务 器 ”界面 ， 根 据 VPN 服务 
器 的 需要 添加 RADIUS 客户 端 。 
图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-31 所 示 的 “配置 身份 验证 方法 ”界面 。 为 了 启用 和 配置 EAP 
dh 选中 “可 扩展 身份 验证 协议 ” 复 选 框 ， 在 “类 型 ”下 拉 列 表 框 中 选择 一 个 EAP 类 
， 然 后 根据 需要 单 击 “配置 ”按钮 ， 来 配置 所 需要 的 身份 验证 方法 。 


CEITET33 


ral EETET? 习 
pn 指定 拨号 或 VPN 服务 器 ph 配置 身份 验证 方法 
i 和 TI 分 浊 各 以 下 协议 如 和 外人 不 同 引入 站务 吕 请 请 促 
te i 
加 果 要 闪光 各 WF 服务 加 条 加 为 MAITIS 窜 户 党 ,读音 “0”。 本 
RADIUS Fd AG MS 4 mbsf: 
Nw. | | 
Ee 所 由 scoes 训 且 SHE 本 2 gE-CuFve) 曙 
6 [区 关 思 疡 条 生生 人 好 玖 宝 码 
厂 出 sos> 加 守 身 人 98NE 0l5-CAAY] 达 ) 
如果 刘斌 行 的 间作 入 弹 不 克 持 是 -CPw2， 读 选择 由 讼 i。 
上 -全 |[ 下 -从 加 了 有 上 -上 也 5 四 | 9 
11-30 


“指定 拨号 或 VPN 服务 器 ”界面 11-31 “配置 身份 验证 方法 ”界面 
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@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-32 所 示 的 “指定 用 户 组 ”界面 ， 添 加 包含 允许 建立 VPN 远程 
访问 连接 的 用 户 账户 组 。 

回 单 击 “ 下 一 步 ” 按 钮 ， 显示 如 图 11-33 所 示 的 “指定 IP 筛选 器 ”界面 ， 根据 需要 添加 IPv4 和 IPv6 
输入 和 输出 数据 包 筛 选 器 ， 应 用 于 所 有 远程 访问 VPN 连接 中 。 


EDET3SS 一 


| EETET 
指定 用 户 组 指定 IP 利 先 器 
man, 将 爷 证 歌 拒 过 遍 于 一 个 或 条 个 记 定 夫 扎 员 的 月 户 Fh 如 第 旋 午 采制 发 送 加 换 和 9 沪 结 泳 里 关 型 ， 清 本 轨 TPv+ 和 JPv5 效 损 包 沉 先 器 。 
落 要 认可 用 户 委 ， 请 单 击 " 汪 加” * 如 入 及 有 大 择 任何 组 ， 风 | 此 寺院 档 应 用 于 所 有 才 户 - Et bb Tv 和 Te 机 入 
I 
I 一 一 下 本 后 实 9 Tvt 才思， 请 机" 扬 入 夭 运 当 ” 
焉 瑟 | 从中 坑 W TPvt 示 沽 包 ， 请 单机 “加 出入 过 址 ” 二 二 卫 流入 
罗兰 开 0) 
硬 对 -nw 
上 要 入 间 由 必 放 的 Tv 示 浊 和 ， 请 单 十“ 办 和 和 过 ” 由 .， 
J St | 
Pl I 寺 扫 和， 请 单 击 “办 入 汉 泪 ” Wi 
IPN Users 可 名 了 人) 
RO). a | 
上 -5 | 下 - 步 胃 | FDI | 了 L$® | TsD | 50 | 了 W 


图 11-32 “指定 用 户 组 ”界面 图 11-33 “指定 IP 筛选 器 ”界面 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-34 所 示 的 “指定 加 密 设 置 ”界面 ， 启 用 允许 的 加 密 强 度 。 
@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-35 所 示 的 “指定 一 个 领域 名 称 ” 界 面 ， 指 定 领域 的 名 称 ， 并 
根据 需要 选中 “进行 身份 验证 前 ， 从 用 户 名 中 删除 领域 名 称 ” 复 选 框 。 


CERTETE 


到 CEETETE 


到 
指定 加 害 设置 


指定 一 个 领域 名 称 
措 定 所 名 认 的 肌 于 访 上 褒 户 者 和 癌 六 访问 有 入 吉之 所 量 的 加 记 理 度 < 对 罗 生 了 各 可 各 用户 在 录用 产 人 户 人 0 所 名 条 并 由 


于 你 正在 全 用 宙 吉庆 号 于 服务 器 的 阿 直 和 证 得 访 问 最 务 ， 你 可 以 芝 重 加 定 强度 * 009 I 项 用 用 户 PE 一 部 分 未 识 虽 入 内 列 叶 肝 务 芝 的 过 摘 请 有 。 这 卫 分 用 户 包 承 是 名 名 


-如果 您 不 知 泡 哲 域 名 ， 请 联系 您 8 TS8* 如 时 你 不 关心 秆 婚 名 煌 ， 请 单 击 ”下 一 步 "， 
运行 Worarott 路 由 和 还 答 访问 胆 吧 的 计算 机 支持 加 密 训 和 用 于 办 公测 下 条! 起 括 分 请 符 字符 | 
如 末 全 用 不 月 的 局 些 访 问 朋 务 关 出 行 技 号 或 VEN 注 模 ， 靖 询 你 爷 的 服务 器 地 桂 从 定 的 折 写 设置 。 Rs 
懈 B7 “ 否 " 5 潜质 ,NM 沪 问 客户 并 交 络 访问 及 务 各 之 j 冰 入 妆 有 加 守信 护 地 建议 
领域 名 称 (B) 
示例 : ISP* 
克基 ez 多 位) DD) Ne ss RA 
记 jh 格 mprr 5 位) 7 
忆 议 革 [EWeP3 129 位 ) G) 
图 11-34 “指定 加 密 设 置 ” 界面 11-35 “指定 一 个 领域 名 称 ”界面 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-36 所 示 的 “完成 新 建 拨号 或 虚拟 专用 网 络 连接 和 RADIUS 客 
户 端 ”界面 ， 单 击 “完成 ”按钮 。 
“配置 VPN 或 拨号 ”向 导 为 远程 访问 VPN 连接 创建 了 一 个 连接 请 求 策略 和 一 个 网 络 策略 。“ 配 置 VPN 
或 拨号 ”向 导 使 用 单一 EAP 方式 配置 网 络 策略 。 对 于 其 他 EAP 方式 , 用 户 可 以 从 网 络 策略 属性 中 的 “设置 ” 


选项 卡 中 配置 。 在 用 户 使 用 适当 的 日 志 、RADIUS 客户 端 和 策略 设置 配置 完 主 NPS 服务 器 后 ， 复 制 配置 到 
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安全 内 幕 


辅助 或 其 他 NPS 服务 器 上 。 


| 一 完成 新 建 搜 呈 或 虚拟 专用 网 络 连接 和 RADIUS 客户 并 


图 11-36 “完成 新 建 拨 号 或 虚拟 专用 网 络 连接 和 RADIUS 客户 端 ”界面 


11.3.6 配置 内 网 基础 结构 


VPN 远程 连接 的 最 终 目的 是 以 最 安全 的 方式 访问 内 网 资源 ， 因 此 仅 建立 VPN 客户 端 到 VPN 服务 器 的 
连接 是 不 够 的 。 管 理 员 必须 为 远程 拨 入 用 户 设 置 路 由 信息 ， 以 确保 其 可 以 访问 内 网 服务 器 或 网 络 设备 。 为 
了 使 VPN 服务 器 能 够 在 内 网 中 正确 转发 通信 ， 用 户 必须 完成 如 下 工作 之 一 。 

和 添加 概括 内 网 中 所 使 用 的 IPv4 和 IPv6 地 址 空间 的 静态 路 由 。 

里 如果 用 户 在 内 网 子 网 中 使 用 RIP IPv4 路 由 连接 VPN 服 

务 器 ， 那 么 添加 RIP 路 由 协议 ， 保 证 VPN 服务 器 可 以 
与 临近 的 RIP 路 由 器 交换 路 由 ， 并 且 为 内 网 子 网 自动 
添加 路 由 到 路 由 表 中 。 


1. 添加 IPv4 静态 路 由 


@ 打开 “路 由 和 远程 访问 ”窗口 ， 在 左 侧 的 控制 台中 展 
开 IPv4 节点 ， 如 图 11-37 所 示 。 

回 右 击 “静态 路 由 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 
静态 路 由 ”命令 ， 显 示 如 图 11-38 所 示 的 “IPv4 静态 
路 由 ”对 话 框 ， 为 静态 路 由 选择 适当 的 接口 ， 然 后 输 
入 目标 、 网 络 掩 码 、 网 关 和 跃 点 数 。 


图 11-37 “路 由 和 远程 访问 ”窗口 


[a | 提示 : 重复 此 操作 可 以 添加 到 其 他 子 网 的 IPv4 静态 路 由 。 


图 单 击 “ 确 定 ”按钮 保存 设置 。 
IPv6 静态 路 由 的 创建 与 IPv4 完全 相同 ， 此 处 不 复 效 述 。 
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2. 配置 VPN 服务 器 作为 RIP 路 由 器 


@ 打开“ 路 由 和 远程 访问 ”窗口 ， 在 左 侧 的 控制 台中 展开 IPv4 节点 。 右 击 “ 常 规 ”， 在 弹出 的 快捷 
菜单 中 选择 “新 建 路 由 协议 ”命令 ， 显 示 如 图 11-39 所 示 的 “新 路 由 协议 ”对 话 框 ， 选 择 “ 用 于 
Internet 协议 的 RIP 版 本 2” 路 由 协议 。 


图 11-38 “IPv4 静态 路 由 ”对 话 框 图 11-39 “新 路 由 协议 ”对 话 框 


单 击 “ 确 定 ” 按 钮 返回 “路 由 和 远程 访问 ”窗口 。 

右 击 RIP， 在 弹出 的 快捷 菜单 中 选择 “新 增 接口 ”命令 ， 显 示 如 图 11-40 所 示 的 “用 于 Internet 
协议 的 RIP 版 本 2 的 新 接口 ”对 话 框 ， 选 择 VPN 服务 器 的 内 网 接口 即 可 。 

@ 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 11-41 所 示 的 “RIP 属性 ”对 话 框 ， 根 据 VPN 服务 器 的 内 网 子 网 中 
临近 RIP 路 由 器 配置 RIP 路 由 协议 。 


四 四 


图 11-40 “用 于 Internet 协议 的 RIP 版 本 2 的 新 接口 ”对 话 框 图 11-41 “RIP 属性 ”对 话 框 
回 单 击 “ 确 定 ” 按 钮 ， 保 存 配 置 。 


11.3.7 配置 VPN 客户 端 


配置 VPN 客户 端的 关键 之 处 在 于 ， 客 户 端 必须 选择 与 服务 器 端 匹 配 的 身份 验证 方式 和 加 密 协 议 。 通 常 


情况 下 , 管理 员 可 以 通过 手动 和 CM 配置 文件 两 种 方式 配置 VPN 客户 端 。 客户 端 创 建 VPN 连接 之 后 , 默认 
将 自动 断 开 到 其 他 Internet 主机 的 连接 。 因 此 ， 若 想 同 时 访问 VPN 连接 与 Internet， 则 可 以 手动 创建 VPN 
所 需 的 静态 路 由 ， 避 免 其 自动 创建 。 
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Ow 


1. 手动 配置 VPN 客户 端 
如 果 用 户 拥有 少量 的 VPN 客户 端 ， 用 户 可 以 为 每 台 VPN 客户 端 手动 配置 VPN 连接 。 对 于 Windows 


Server 2008 和 Windows Vista VPN 客户 端 ， 使 用 “设置 连接 或 网 络 ” 向 导 ; 对 于 Windows XP 和 Windows 
Server 2003 VPN 客户 端 ， 使 用 “新 建 连接 向 导 ”。 
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(D 创建 VPN 客户 端 连 接 

GD 登录 到 Windows Vista 系统 以 后 ， 首 先 使 用 ADSL 或 其 他 接 入 方式 连接 到 Internet。 

回 打开 “网 络 和 共享 中 心 ” 窗 口 ， 单 击 “ 设 置 连接 或 网 络 ” 链 接 ， 显 示 “ 选 择 一 个 连接 选项 ”界面 ， 
选择 “连接 到 工作 区 ”选项 ， 如 图 11-42 所 示 。 

图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-43 所 示 的 “您 想 如 何 连接 ”界面 ， 选 择 建 立 VPN 连接 的 方式 。 


图 11-42 “选择 一 个 连接 选项 ”界面 图 11-43 “您 想 如 何 连接 ”界面 


@ 单 击 “ 使 用 我 的 Internet 连接 (VPN)” 选 项 ， 显 示 如 图 11-44 所 示 的 “键入 要 连接 的 Internet 地 
址 ”界面 ， 在 “Internet 地 址 ”文本 框 中 输入 VPN 服务 器 的 域名 或 公 网 IP 地 址 。 可 以 是 IPv4 地 
址 ， 也 可 以 是 IPv6 地 址 。 在 “目标 名 称 ” 文 本 框 中 输入 进行 VPN 连接 时 显示 的 名 称 。 


提示 : 智能 卡 是 包含 用 户 账户 重要 信息 的 芯片 ， 使 用 时 将 个 人 专用 智能 卡 插入 计算 机 的 读 卡 器 即 可 。 使 
用 智能 卡 可 以 提供 比 密码 更 高 的 安全 级 别 ， 当 然 成 本 也 较 高 。 


回 单 击 “下 一 步 ” 按 钮 ， 显 示 如 图 11-45 所 示 的 “键入 您 的 用 户 名 和 密码 ”界面 。 分 别 在 “用 户 名 ” 
和 “密码 ”文本 框 中 ， 输 入 用 于 VPN 拨 入 的 用 户 账户 和 密码 ， 为 了 便于 下 次 使 用 ， 可 选中 “ 记 住 
此 密码 ” 复 选 框 。 在 “ 域 ” 文 本 框 中 输入 域名 。 

单 击 “ 连 接 ” 按 钮 ， 开 始 尝试 连接 到 远程 VPN 服务 器 ， 如 图 11-46 所 示 。 

@ 不 过 , 此 时 并 不 能 连接 到 VPN 服务 器 , 会 显示 如 图 11-47 所 示 的 “向 导 无 法 连接 ”界面 。 单 击 “ 仍 
然 设 置 连接 ”按钮 ， 保 存 该 VPN 连接 。 


© 注意 : 如 果 网 络 中 没有 配置 NPS 服务 器 ， 而 仅仅 使 用 VPN 拨 入 功能 ， 则 在 为 用 户 赋予 找 入 权限 时 ， 必 须 
选择 “允许 访问 ”选项 ， 否 则 无 法 拨 入 内 部 网 络 。 当 使 用 VPN 连接 到 内 部 网 络 以 后 ， 就 如 同 在 局 域 网 中 
一 样 ， 在 浏览 网 页 、 运 行 各 种 应 用 程序 时 都 是 通过 VPN 网 络 的 Intemet 连接 接 入 的 。 


第 ft 章 远程 访问 VPN 连接 


图 11-44 “键入 要 连接 的 Internet 地 址 ”界面 图 11-45 “键入 您 的 用 户 名 和 密码 ”界面 


图 11-46 ”尝试 连接 到 远程 VPN 服务 器 图 11-47 “向 导 无 法 连接 ”界面 


(2) 配置 身份 验证 协议 

@ 在 “网 络 和 共享 中 心 ” 窗 口中， 单 击 “ 管 理 网 络 连接 ”打开 “网 络 连接 ”窗口 。 选 择 已 创建 的 VPN 

链接 ， 右 击 并 选择 快捷 菜单 中 的 “属性 ”选项 ， 显 示 如 图 11-48 所 示 的 “VPN 连接 属性 ”对 

话 框 。 

切换 到 “安全 ”选项 卡 ， 选 择 “ 高 级 ( 自 定义 设置 ]” 单 选 按钮 ， 如 图 11-49 所 示 。 

单 击 “ 设 置 ”按钮 ， 显 示 如 图 11-50 所 示 的 “高 级 安全 设置 ”对 话 框 ， 在 “数据 加 密 ” 下 拉 列 表 

框 中 选择 “需要 加 密 (如 果 服 务 器 拒绝 将 断 开 连 接 )” 选 项。 选择 “使 用 可 扩展 的 身份 验证 协议 (EAP)” 

单 选 按钮 ， 并 在 其 下 拉 列 表 框 中 选择 “ 受 保护 的 EAP (PEAP) (启用 加 密 )” 选 项 。 

图 单 击 “ 属 性 ”按钮 ， 显 示 如 图 11-51 所 示 的 “ 受 保护 的 EAP 属性 ”对 话 框 ， 确 认 选 中 “验证 服务 
器 证 书 ” 复 选 框 ， 并 取消 选中 “连接 到 这 些 服务 器 ” 复 选 框 。 在 “受信 任 的 根 证 书 颁发 机 构 ” 列 
表 框 中 ， 可 以 看 到 已 经 安装 的 证 书 颁 发 机 构 。 在 “选择 身份 验证 方法 ”下 拉 列表 框 中 ， 选 择 “ 安 
全 密码 ”选项 ， 并 选中 “启用 隔离 检查 ” 复 选 框 。 
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图 11-48 “VPN 连接 属性 ”对 话 框 图 11-49 “安全 ”选项 卡 
回 ”依次 单 击 “ 确 定 ” 按 钮 保存 配置 即 可 。 


图 11-50 
2. 使 用 CM 配置 文件 部 署 客户 端 


“高 级 安全 设置 ”对 话 框 
对 于 大 量 的 运行 不 同 版 本 Windows 系统 的 VPN 客户 端 ， 管 理 员 可 以 使 用 CMAK 为 用 户 创建 CM 配置 
文件 。 完成 之 后 , 通过 相应 的 方式 发 送 到 客户 端 即 可 。 创建 VPN 连接 客户 端的 用 户 只 需 执 行 CM 配置 文件 ， 
系统 即 可 自动 创建 VPN 连接 。 

(了 ) 安装 CMAK 功能 组 件 


默认 情况 下 ，Windows Server 2008 系统 并 未 安装 CMAK 功能 组 件 ， 管 理 员 可 以 通过 “服务 器 管理 器 ” 
中 的 “添加 功能 ”来 安装 “连接 管理 器 管理 工具 包 ”。 


Q@ ”依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 显 示 “ 服 务 器 管理 器 ”对 话 框 。 单 
击 “ 功 能 ”， 在 详细 面板 中 单 击 “ 添 加 功能 ”超级 链接 ， 显 示 如 图 11-52 所 示 的 “选择 功能 ” 界 
面 ， 选 中 “连接 管理 器 管理 工具 包 ” 复 选 框 。 


加 


图 11-51 


“ 受 保护 的 EAP 属性 ”对 话 框 


图 11-52 “选择 功能 ”界面 
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第 ft 章 远程 访问 VPN 连接 


加 单 击 “ 下 一 步 ”按钮 显示 如 图 11-53 所 示 的 “确认 安装 选择 ”界面 。 单 击 “ 安 装 ” 按 钮 ， 显 示 
“安装 进度 ”界面 ， 从 中 可 以 看 出 安装 进度 情况 。 


图 11-53 “确认 安装 选择 ”界面 
图 ”安装 完成 后 ， 显 示 如 图 11-54 所 示 的 “安装 结果 ”界面 。 单 击 “ 关 闭 ” 按 钮 即 可 。 


图 11-54 “安装 结果 ”界面 


(2] 为 VPN 连接 创建 CM 配置 文件 
Q@ ”依次 单 击 “ 开 始 ”一 “管理 工具 ”一 “连接 管理 器 管理 工具 包 ” 命 令 ， 显示 如 图 11-55 所 示 的 “ 欢 
迎 使 用 “连接 管理 器 管理 工具 包 向 导 ”” 界 面 。 
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@ Windows Server 2008 于 学 了 


回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-56 所 示 的 “选择 目标 操作 系统 ”界面 ， 根 据 分 配 CM 配置 文 
件 的 VPN 客户 端的 设置 ， 选 择 Windows Vista 或 者 “Windows Server 2003、Windows XP 或 
Windows 2000” 单 选 按钮 。 


HEEFT 半 


< 这 反目 标 搓 作 系统 
区 迎 使 用 “连接 管 理 器 管理 工具 和 包 向 导 ” 根据 这 计 和 机 上 运 生 的 拉 作 夭 绩 ， 这 按 间 站 上 入 牢 让 去 持 几 角 不 月 。 


和 人 
[i ye va 


stews Server 2000、 Wialws 好 或 Wiadms 2000G) 
蔬 要 扒 寺 请 音 击 “下 一步 "< 


有 有 关 独 所 长生 和 使 放 的 信息 ， 请 所 阅 我 们 的 联 机 和 采 天 时 


EL EE < 上- 步 四 [下 -二 四 习 ma | ww | 
图 11-55 “欢迎 使 用 “连接 管理 器 管理 工具 包 向 导 ” ”界面 图 11-56 “选择 目标 操作 系统 ”界面 


图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-57 所 示 的 “创建 或 修改 连接 管理 器 配置 文件 ”界面 ， 选 择 “ 新 

建 配置 文件 ” 单 选 按钮 。 

图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-58 所 示 的 “指定 服务 名 称 和 文件 名 ”界面 ， 输 入 配置 文件 创 
i 中 的 名 称 。 


EEEIESTEEEB E 
和 二 务 名 称 和 文件 名 
过 撤 知 提 福 允 全 3 本 同 六 的 二 的 所 有 民 委 设 和 的 阴 语 ， i 
A A 
儿 | 凋 单 击 “ 驯 有 负 卫 村 文件 ”， 基 后 单 证 表 在 列 一 一 
人 Edd 
| | 
mw | wj | ww | 
11-57 “创建 或 修改 连接 管理 器 配置 文件 ”对 话 框 11-58 “指定 服务 名 称 和 文件 名 ”对 话 框 


回 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-59 所 示 的 “指定 一 个 领域 名 称 ” 界 面 ， 配 置 领域 名 称 ， 如 果 
不 需要 指定 领域 名 称 ， 则 保持 默认 设置 即 可 。 

@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-60 所 示 的 “合并 来 自 其 他 配置 文件 的 信息 ”界面 ， 指 定 需 要 
合并 的 现 有 配置 文件 。 

@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-61 所 示 的 “添加 VPN 连接 的 支持 ”界面 ， 选 中 “此 配置 文件 

的 电话 簿 ” 复 选 框 。 在 “VPN 服务 器 名 或 IP 地 址 ”选项 区 域 中 输入 VPN 服务 器 Internet 接口 的 

FQDN、 公 有 IPv4 地 址 ， 或 者 全 局 IPv6 地 址 。 

单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-62 所 示 的 “创建 或 修改 VPN 项 目 ” 界 面 。 

单 击 “ 编 辑 ” 按 钮 ， 显 示 如 图 11-63 所 示 的 “编辑 VPN 项 目 ” 对 话 框 ， 在 “常规 ”、IPv4、IPv6、 


加 四 
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“安全 ”和 “高 级 ”选项 卡 中 指定 适当 的 设置 。 


EEEEEEEREETB x 


指证 一 个 人 域 者 称 
这 代打 宙 尖 和 放 由 和 务 从 证 


ET 了 | 


to Sm | 一 S | 


图 11-59 “指定 一 个 领域 名 称 ” 界 面 


TYPE 连接 的 支持 


et 


eb oe oe 


了 出 乔 叉 件 于 话 济 ) 
FF PE 


3 a 
a 
有 


厂 对 VY 和 | 号 涤 榜 ， 并 用 售后 记 SEE 0D 


地 朵 庶 队 志 用 同 阅 Mr 本 下 过 过 沪 呈 这 接 或 


图 11-60 “合并 来 自 其 他 配置 文件 的 信息 ”界面 


EEEEEETRETB 


创建 或 赵 改 YPH 项 目 
ME 网 呈 本 训 有 关 如 朵 区 这 全 1 ry 服务 广博 过 各 5 后 井 信 向 


Pe i 
wa May 


HO. | WH... | Mr 


| | 


图 11-61 “添加 VPN 连接 的 支持 ”界面 


切换 至 如 图 11-64 所 示 的 “安全 ”选项 卡 ， 可 以 设置 “数据 加 密 ”、 


战略 了 ° 


[| 
Fa jaw los | 实生 | 高 8 | 


其 


高 用 窜 户 渤 立 以 下 连接- 
[ER 习 


11-63 “编辑 VPN 项 目 ” 对 话 框 


-eg [Fe mh .| 


图 11-62 “创建 或 修改 VPN 项 目 ” 界 面 
“身份 验证 方法 ”和 “VPN 


六 组 13Pr4 | 全 |e | 


11-64 “安全 ”选项 卡 


@ 单 击 “ 确 定 ”按钮 ， 返 回 “ 创 建 或 修改 VPN 项 目 ” 对 话 框 . 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-65 
所 示 的 “添加 一 个 自 定义 电话 短 ” 界 面 ， 取 消 选 中 “自动 下 载 电 话 短 更 新 ” 复 选 框 。 
四 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-66 所 示 的 “配置 拨号 网 络 项 ”界面 。 
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@ Windows Server 2008 “3 


[4341 


my | ew | [EH wy | wm | 
图 11-65 “添加 一 个 自 定义 电话 得 ”界面 图 11-66 “配置 拨号 网 络 项 ”界面 

区 ” 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 11-67 所 示 的 “指定 路 由 表 更 新 ”界面 ， 如 果 用 户 正在 使 用 CM 
配置 文件 为 VPN 服务 器 的 并 发 nternet 访问 和 内 网 访问 添加 路 由 ， 则 选择 “定义 路 由 表 更 新 ” 单 
选 按钮 ， 并 指定 包含 路 由 或 URL 的 文件 。 

加 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-68 所 示 的 “配置 Internet Explorer 的 代理 设置 ”界面 ， 如 果 


用 户 想 要 在 内 网 中 使 用 代理 服务 器 配置 VPN 客户 端 ， 选 择 “ 自 动 将 当前 用 户 的 Internet Explorer 
代理 设置 复制 到 隧道 接口 ”或 者 “自动 配置 代理 设置 ” 单 选 按钮 ， 然 后 指定 包含 代理 设置 的 文件 。 


配置 Tnternet Explorer 的 代理 设置 
全 以 及 训 记 弄 上风 大 个 活动 入 二 Totornet Prloror 的 人 可 下 > 


要 计 这 将 管理 器 白 动 本 竺 伯 晶 设 吐 ， 请 输入 做 理 设 辕 祥 件 名 *。 


下 于 
个旧 动 入 当前 用 户 的 Iateaet Explerer 代理 认得 夏 机 玫 适 撤 口 G) 。 


三 和 出 表 昌 晰 加 
Ea] .she 信阳 刘 | 
fp 
pe 
厂 和 持原 央 六 A 训 
区 和 此 TRE 到 有 光电 并 丰满 加 


mn | | | 


图 11-67 “指定 路 由 表 更 新 ”界面 图 11-68 “配置 Internet Explorer 的 代理 设置 ”界面 


单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-69 所 示 的 “添加 自 定义 操作 ”界面 ， 根 据 需 要 配置 自 定义 
操作 。 
单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-70 所 示 的 “显示 自 定义 登录 位 图 ”界面 。 如 果 用 户 想 要 在 登 
录 对 话 框 使 用 自 定义 位 图 ， 那 么 选择 “ 自 定义 图 形 ” 单 选 按钮 ， 然 后 指定 位 图 的 位 置 。 

单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-71 所 示 的 “显示 自 定 义 电话 短 位 图 ”界面 。 如 果 用 户 想 要 在 
电话 短 对 话 框 使 用 自 定义 位 图 ， 那 么 选择 “ 自 定 义 图 形 ” 单 选 按钮 ， 然 后 指定 位 图 文件 的 位 置 。 
单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-72 所 示 的 “显示 自 定义 图 标 ” 界 面 。 如 果 用 户 想 要 在 “网 络 
和 共享 中 心 ”或 “网 络 连接 ”文件 夹 中 使 用 自 定义 位 图 ， 则 选择 “ 自 定义 图 标 ” 单 选 按 钮 ， 并 指 
定位 图 文件 的 位 置 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-73 所 示 的 “包括 自 定义 帮助 文件 ”界面 。 如 果 用 户 想 要 配置 文件 


中 包含 自 定义 帮助 文件 ， 则 选择 “使 用 此 自 定义 帮助 文件 ” 单 选 按钮 ， 并 指定 CHM 文件 的 位 置 。 


EEEEEECTEEEE 加 | 


吉 作 二 4) 2] 
Ed 
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保 放风 接口 的 开 代理 归 务 。。 河 洽 首 
更 着 礼 了 路 这 怪 表 “内 次 > 后 六 
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"BEE 
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上 - 步 四 了 有 E22 


图 11-69 “添加 自 定义 操作 ”界面 


示 自 定义 电话 得 位 图 
当 玫 户 过 笃 一 个 电 亏 纪检 进行 代 纪 这 扒 时 。 电 括 清 位 卫 插 在 志 才 清 FDI 上 王 示 * 


GL 4) 
在 电话 第 对 话 杠 中 ， 呈 未 此 四 和 
ME 
个 自 定义 国防 ( bm? 格式 ，390 了 309 像 要 ) 外) 
0 


Lu 了 和 Ee 


图 11-71 “显示 自 定义 电话 簿 位 图 ”界面 
图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 11-74 所 示 的 “ 显 


登录 对 话 框 中 包含 标准 支持 文本 ， 则 在 “支持 信 


EEIEETIEEEG 


和 包 括 自 定义 帮助 文件 
月 户 站 二 这 反 管 浊 基 震 口 中 的 “ 吉 册 ” 上 后 帮 劲 件 条 时 下 与 上 下 又 相 关 的 沪 息 。 


合用 此 帮助 ch 文件 
A 


a 震 助 福 件 
[| MM 


:上 职 测 Ei 


11-73 “包括 自 定义 帮助 文件 ”界面 


图 11-70 “显示 自 定义 登录 位 图 ”界面 


{tm [T=-$] mn 二 


图 11-72 “显示 自 定义 图 标 ” 界 面 


示 自 定义 支持 信息 ”对 话 框 ， 如 果 用 户 想 要 在 
”文本 框 中 ， 输 入 需要 的 文件 。 


显示 白 定义 支持 信息 
支持 信息 时 不 在 过 理 直 剖 录 主 直 口 中 这 接 居 六 的 下 上 方 。 


输入 他 于 本 录 对 基 丰 中 旺 示 的 文本 ， 
EL 
| 


全 M0 吾 户 服务 电 活 1-E0C -=55-0100 


< 上 一步 四 职 洒 EE 


11-74 “显示 自 定义 支持 信息 ”界面 
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@ Windows Server 2008 二 了 了 


四 单 击 “ 下 一 步 ” 按钮 ,显示 如 图 11-75 所 示 的 “显示 自 定 义 许可 协议 ”界面 。 如 果 用 户 想 要 在 CM 
配置 文件 安装 过 程 中 显示 自 定义 许可 协议 ， 则 指定 包含 许可 协议 文本 的 文件 即 可 。 

四 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-76 所 示 的 “使 用 连接 管理 器 配置 文件 安装 其 他 文件 ”界面 ， 
如 果 在 安装 配置 文件 的 过 程 中 包含 CM 配置 文件 的 其 他 文件 ， 则 一 一 指定 其 位 置 即 可 。 


EEEEEEEEITEEE Ee EEEEETEEED “FE: 
显示 自 定义 许可 协议 后 使用 连接 管理 器 配 轩 文件 安 壬 其 他 文件 

刁 壬 闪 管理 吉 k 备 文件 究 装 到 窜 户 应 计算 机 之 后 ， 了 十 抠 许可 办 裕 。 可 以 指定 使 采 庄 接合 悍 容 了 天 久生 在 客 睛 帮 + 其 机 上 守 半 的 其 他 文件 。 

用 户 必 采 接 桥 谈 诗 可 协议 。 否 雪村 不 用: 披 X 进 行 ， SEE 融 #D 白 定义 禄 让 所 过 的 执 据 

全 入 多 名 有 不 雪 使 用 的 许可 徐 议 文本 久 件 txt) 各 。 其 他 文件 四 )- 

文件 各 ] 7 

[ Use 

渗 加 Qj. Ez 
my | um | my 到 | 
图 11-75 “显示 自 定义 许可 协议 ”界面 图 11-76 “使 用 连接 管理 器 配置 文件 安装 其 他 文件 ”界面 


加 单 击 “下 一 步 ” 按 钮 ， 显 示 如 图 11-77 所 示 的 “构建 连接 管理 器 配置 文件 及 其 安装 程序 ”界面 。 
通常 情况 下 ， 无 需 选中 “高 级 自 定义 ” 复 选 框 进行 高 级 选项 设置 。 
留 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 11-78 所 示 的 “连接 管理 器 配置 文件 已 完成 ， 可 以 分 发 ”界面 ， 
单 击 “ 完 成 ”按钮 即 可 。 


[seastal tas OS 
了 ee 连 拨 管 理 器 配置 文件 已 充 成 ， 可 以 分 发 
= Sb 
ed 尹 族 抽 5 
厂 府 交 和 完 久 仿 } 


二 从前 而 i 拼 ， 读音 中" 上 一 睫 "。 
A 和 单 出 了 “下 一 步 ” 后 ， 休 不 能 到 2 汤面 的 寺 皖 。 
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图 11-77 “构建 连接 管理 器 配置 文件 及 其 安装 程序 ”界面 ”图 11-78 “连接 管理 器 配置 文件 已 完成 ， 可 以 分 发 ”界面 


(3] 分 发 CM 配置 文件 

管理 员 可 以 通过 如 下 几 种 方法 将 CM 配置 文件 分 发 到 VPN 客户 端 用 户 。 

”通过 可 移动 存储 介质 分 发 ， 如 光盘 、U 盘 等 。 这 种 方式 花费 较 高 ， 并 且 安 全 性 较 低 。 

”通过 E-mail 分 发 CM 配置 文件 。 

@ ”通过 下 载 分 发 CM 配置 文件 。 管 理 员 可 以 将 CM 配置 文件 发 布 到 Web 或 FTP 服务 器 上 ， 供 用 户 
下 载 。 
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站 点 对 站 点 VPN 连接 的 是 两 个 分 别 独立 的 网 络 ， 相 
对 于 第 11 章 介绍 的 远程 访问 VPN 而 言 ， 功 能 更 加 强大 ， 
可 以 实现 两 个 网 络 的 安全 互联 。 建 立 站 点 对 站 点 的 VPN 
连接 后 ， 局 域 网 中 的 客户 端 可 以 通过 VPN 服务 器 ， 拨 叫 
到 对 端 网 络 中 的 任意 客户 端 上 。 这 种 方式 通常 应 用 于 大 
型 企业 网 络 不 同 分 支 之 间 的 连接 ， 既 可 以 确保 安全 性 ， 
又 不 必 花 费 高 额 的 链 路 租金 。 管 理 员 可 以 借助 Windows 
Server 2008 系统 ， 或 者 网 络 中 的 路 由 器 防火 墙 等 设备 实 
现 点 对 点 的 VPN 连接 。 


全 关键 词 
站 点 对 站 点 VPN 简介 
点 对 点 VPN 连接 的 规划 和 设计 
配置 站 点 对 站 点 VPN 连接 


和 ED 


12.1 站 点 对 站 点 VPN 简介 


点 对 点 VPN 与 远程 访问 VPN 类 似 ， 同 样 支持 多 种 加 密 协 议和 身份 验证 机 制 。 不 同 的 是 在 这 种 连接 中 
没有 客户 端 和 服务 器 之 分 ， 两 端 负责 建立 VPN 连接 的 VPN 服务 器 均 称 为 VPN 路 由 器 。 在 Windows Server 
2008 中 有 两 种 类 型 的 站 点 对 站 点 VPN 技术 。 
”点 对 点 通道 协议 (PPTP): PPTP 使 用 用 户 级 的 点 对 点 协议 (PPP) 身 份 验 证 方式 和 微软 点 对 点 加 密 
(MPPE) 进 行 数据 加 密 。 

里 ”使 用 Internet 协议 安全 的 第 二 层 通道 协议 (L2TP/IPSec): L2TP/IPSec 使 用 用 户 级 的 点 对 点 协议 
(PPP) 身 份 验 证 方式 ， 以 及 IPSec 进行 计算 机 级 的 IPSec 身份 验证 和 数据 验证 、 完 整 性 验证 和 
加 密 。 


12.1.1 点 对 点 VPN 的 实现 机 制 


建立 站 点 对 站 点 VPN 连接 的 VPN 路 由 器 也 叫 呼叫 路 由 器 ; 监听 入 站 站 点 对 站 点 连接 的 VPN 路 由 器 也 
叫 应 答 路 由 器 。 在 连接 过 程 中 ， 呼 叫 路 由 器 验证 应 答 路 由 器 ， 身 份 验证 方式 支持 彼此 认证 ， 应 答 路 由 器 验 
证 呼叫 路 由 器 。 
默认 情况 下 ， 站 点 到 站 点 VPN 连接 是 请 求 拨号 连接 ， 只 有 当 网 络 流量 必须 通过 此 接口 转发 (需要 转发 
IP 数据 包 到 对 应 的 远程 网 络 ] 时 才 建 立 连接 。 此 时 呼叫 路 由 器 (VPN 客户 端 ] 初 始 化 这 个 连接 ， 应 答 路 由 器 
(VPN 服务 器 )] 侦 听 连 接 请 求 , 接收 来 自 呼叫 路 由 器 的 连接 请 求 , 根据 请 求 建立 连接 , 并 且 在 空闲 一 定时 间 ( 默 
认为 5min)] 后 断 开 连接 。 可 以 配置 连接 为 永久 连接 方式 。 此 时 ，VPN 服务 器 会 保持 此 连接 的 连接 状态 ， 如 
果 连 接 中 断 则 立即 重新 初始 化 连接 。 
为 了 避免 呼叫 路 由 器 建立 不 需要 的 连接 ， 可 以 按照 以 下 两 种 方式 来 限制 呼叫 路 由 器 建立 请 求 的 站 点 到 
站 点 VPN 连接 : 
IP 请 求 拨号 筛选 器 。 可 以 使 用 请 求 拨号 筛选 来 决定 哪 种 类 型 的 IP 流量 不 能 导致 请 求 拨号 连接 的 建 
立 ， 也 可 以 配置 哪 种 类 型 的 IP 流量 可 以 导致 连接 的 建立 。 配 置 请 求 拨号 筛选 的 方法 是 : 在 “路 由 
和 远程 访问 ”控制 台 的 “网 络 接口 ”窗口 中 ， 右 击 请 求 拨号 接口 ， 青 单 击 “IP 请 求 拨号 筛选 器 ” 
选项 ， 进 行 相应 设置 即 可 。 
里 拨 出 时 间 。 可 以 使 用 拨 出 时 间 来 配置 允许 或 禁止 呼叫 路 由 器 建立 站 点 到 站 点 VPN 连接 的 时 间 段 。 
配置 拨 出 时 间 的 方法 是 ， 在 “路 由 和 远程 访问 ”控制 台 的 “网 络 接口 ”窗口 中 ， 右 击 请 求 拨号 接 
口 ， 选 择 “ 拨 出 时 间 ” 选 项 ， 设 置 拨 出 时 间 即 可 。 还 可 以 使 用 远程 访问 策略 ， 配 置 允许 传 入 请 求 
拨号 路 由 连接 的 时 间 。 


12.1.2 ”请 求 拨号 路 由 概述 


Windows Server 2008 路 由 和 远程 访问 服务 ， 支 持 基于 拨号 连接 的 请 求 拨号 路 由 、VPN 连接 以 及 基于 
以 太 网 的 PPP 连接 。 请 求 拨号 路 由 与 远程 访问 不 同 ， 远 程 访问 只 连接 单一 计算 机 到 网 络 上 ， 请 求 拨号 路 由 
连接 网 络 的 两 部 分 。 正 如 执行 路 由 和 远程 访问 一 样 ， 远 程 访 问 和 请 求 拨号 连接 可 以 分 别 启动 或 一 起 启动 ， 
共享 如 下 属性 : 
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”用 户 账户 拨号 属性 的 行为 。 

和 安全 (身份 验证 协议 和 加 密 )]。 

里“ 使 用 Windows 或 RADIUS 进行 身份 验证 、 授 权 和 记 账 。 

”使 用 网 络 策略 进行 授权 。 

和 IPv4 地 址 分 配 和 配置 。 

”检修 设备 ， 包 括 事件 日 志 ，Windows 或 RADIUS 身份 验证 和 记 账 日 志 ， 以 及 追踪 。 

1. 请 求 拨号 路 由 更 新 

通常 路 由 协议 依靠 周期 广播 过 程 进 行路 由 信息 通信 。 例 如 ，RIP 路 由 协议 每 隔 30s 就 在 所 有 接口 上 广 
播 路 由 表 的 内 容 。 对 于 敏感 的 拨号 Internet 连接 ， 这 种 周期 性 的 行为 可 能 导致 路 由 器 每 隔 30s 就 呼叫 其 他 
路 由 器 ， 从 而 引起 不 必要 的 路 由 开销 。 

如 果 不 希 望 使 用 路 由 协议 更 新 VPN 路 由 器 的 路 由 表 ， 则 必须 添加 静态 路 由 。 对 应 IPv4 或 IPv6 地 址 前 
级 的 静态 路 由 可 以 手动 或 者 自动 配置 。 对 请 求 拨号 接口 自动 插入 IPv4 静态 路 由 也 叫做 自动 更 新 。 自 动静 态 
更 新 的 请 求 拨号 接口 会 发 送 RIP 请 求 ， 到 另 一 端的 所 有 路 由 器 的 路 由 表 中 。 根 据 请 求 的 回应 ， 被 请 求 路 由 
器 的 IPv4 路 由 作为 静态 路 由 自动 添加 到 发 出 请 求 路 由 器 的 路 由 表 中 。 

静态 路 由 是 持续 的 ， 即 使 连接 断 开 或 路 由 器 重启 ， 它 们 仍然 保持 在 路 由 表 中 。 自 动静 态 更 新 是 一 次 性 、 
单 向 的 路 由 消息 交换 。 

2. 即时 连接 和 持久 连接 

站 点 对 站 点 VPN 连接 的 时 效 性 包括 即时 连接 和 持久 连接 两 种 : 

mm ” 当 通 信 必 须 通 过 连接 转发 ， 并 且 连 接 还 没有 建立 时 ， 创 建 即 时 站 点 对 站 点 连接 。 连 接 可 以 通过 配 

置 呼叫 路 由 器 的 静态 路 由 建立 请 求 拨号 连接 来 进行 创建 。 当 匹配 路 由 的 通信 必须 转发 时 ， 连 接 创 
建 ， 并 且 通 信 被 转发 。 即 时 连接 在 到 达 设 置 时 间 后 终止 。 
”持久 站 点 对 站 点 VPN 连接 总 是 保持 连接 状态 。 如 果 连 接 断 开 ， 将 会 立即 重 试 。 


SG 提示 : 默认 情况 下 ， 请 求 拨号 接口 使 用 带 有 Smin 停机 超时 的 即时 连接 。 


3. 约束 即时 连接 的 建立 
为 了 防止 呼叫 路 由 器 建立 不 必要 的 即时 连接 ， 用 户 可 以 通过 如 下 方式 约束 呼叫 路 由 器 建立 站 点 对 站 点 
VPN 连接 : 

里 ”请求 拨 号 筛选 。 用 户 可 以 使 用 请 求 拨号 筛选 来 配置 不 会 导致 请 求 拨号 连接 建立 的 IPv4 或 IPv6 通 
讯 的 类 型 ， 或 者 导致 连接 建立 的 IPv4 或 IPv6 通讯 的 类 型 。 

里 拨号 超时 。 用 户 可 以 使 用 拨号 超时 配置 呼叫 路 由 器 被 允许 或 者 不 允许 建立 站 点 对 站 点 VPN 连接 。 

时 ”网 络 策略 。 当 入 站 请 求 拨号 连接 在 应 答 路 由 器 上 被 允许 时 ， 用 户 也 可 以 使 用 网 络 策略 配置 VPN 连 
接 时 间 。 


12.1.3 点 对 点 VPN 的 类 型 


站 点 到 站 点 VPN 连接 可 以 分 为 两 种 类 型 : 单 向 初始 化 连接 和 双向 初始 化 连接 。 
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© re 
1. 单 向 初始 化 连接 


在 单 向 初始 化 连接 中 , 一 台 VPN 路 由 器 总 是 担任 呼叫 路 由 器 (类 似 于 远程 访问 VPN 中 的 VPN 客户 端 )， 
而 另 一 台 VPN 路 由 器 总 是 担任 应 答 路 由 器 (VPN 服务 器 ]。 当 单 向 初始 化 的 站 点 到 站 点 连接 成 功 创建 后 ， 呼 
叫 路 由 器 上 将 添加 到 达 应 答 路 由 器 所 属 专用 网 络 的 路 由 ， 但 是 应 答 路 由 器 上 不 会 添加 到 达 呼叫 路 由 器 所 属 
专用 网 络 的 路 由 。 此 时 ， 应 答 路 由 器 不 能 访问 呼叫 路 由 器 所 属 的 专用 网 络 ， 因 此 通常 情况 下 较 少 使 用 单 向 
初始 化 连接 。 

单 向 初始 化 的 连接 需要 满足 下 列 条 件 : 

se。 应答 路 由 器 被 配置 为 局 域 网 和 请 求 拨号 路 由 器 。 

于。 在 应 答 路 由 器 上 为 呼叫 路 由 器 的 身份 验证 凭据 添加 用 户 账户 。 

ms ”在 应 答 路 由 器 上 配置 了 请 求 拨号 接口 ， 并 且 其 名 称 与 呼叫 路 由 器 所 使 用 的 用 户 账户 名 称 相 同 。 


提示 : 请 求 拨号 接口 不 是 用 于 拨号 的 ， 因 此 没有 配置 呼叫 路 由 器 的 主机 名 或 P 地 址 ， 也 没有 配置 有 效 的 
” 拨 出 用 户 身份 验证 信息 。 


里 如果 建立 L2TP/IPSec 模式 的 站 点 到 站 点 VPN 连接 ， 还 需要 在 呼叫 路 由 器 上 安装 客户 端 身份 验证 
证 书 ， 在 应 答 路 由 器 上 安装 服务 器 身份 验证 证 书 ， 如果 不 安装 证 书 ， 则 需要 配置 预 共 享 的 IPSec 
密 钥 。 

2. 双向 初始 化 连接 


双向 初始 化 连接 可 以 视 为 两 个 方向 上 的 单 向 初始 化 连接 , 每 个 VPN 路 由 器 同时 是 呼叫 路 由 器 和 应 答 路 
由 器 ， 可 向 对 方 进行 连接 初始 化 和 接受 对 方 的 站 点 到 站 点 VPN 连接 请 求 。 当 站 点 到 站 点 连接 成 功 创建 后 ， 
每 个 VPN 路 由 器 上 均 会 添加 到 达 对 方 路 由 器 所 属 专 用 网 络 的 路 由 ,从 而 各 自 的 专用 网 络 可 以 访问 远 端 网 络 。 

双向 初始 化 的 站 点 到 站 点 VPN 连接 需要 满足 下 列 条 件 : 

”两 个 路 由 器 都 被 配置 为 LAN 和 请 求 拨号 路 由 器 。 

”在 每 个 路 由 器 上 为 对 端 路 由 器 的 身份 验证 凭据 添加 了 用 户 账户 ， 并 且 配 置 了 名 称 与 呼叫 路 由 器 所 

使 用 的 用 户 账户 名 称 相同 的 请 求 拨号 接口 。 

”如 果 采 用 L2TP/IPSec 模式 的 站 点 到 站 点 VPN 连接 ， 还 需要 在 每 个 路 由 器 上 同时 安装 客户 端 身 份 

验证 证 书 和 服务 器 身份 验证 证 书 ， 如 果 不 安装 证 书 ， 则 需要 配置 欲 共享 的 IPSec 密 钥 。 

在 部 署 站 点 到 站 点 VPN 服务 之 前 ， 用 户 需要 配置 VPN 服务 器 提供 远程 访问 VPN 服务 ， 本 地 VPN 服务 
器 会 将 远 端 VPN 服务 器 发 起 的 站 点 到 站 点 VPN 连接 请 求 ， 视 为 一 个 普通 VPN 客户 端 计算 机 发 起 的 远程 访 
问 VPN 连接 请 求 ， 并 进行 相应 的 处 理 。 

远程 访问 客户 端 和 请 求 拨号 路 由 器 都 可 以 初始 化 一 个 VPN 连接 ， 当 远程 访问 客户 端 和 请 求 拨号 路 由 器 
向 VPN 服务 器 初始 化 VPN 连接 时 ， 它 们 所 发 送 的 身份 验证 信息 中 包含 用 于 初始 化 连接 的 用 户 名 。 如 果 响 
应 这 个 连接 请 求 的 VPN 服务 器 (应 答 路 由 器 ] 上 具有 和 此 用 户 名 一 致 的 请 求 拨号 接口 ， 则 此 连接 就 是 请 求 拨 
号 连接 否则 ， 传 入 的 连接 就 是 远程 访问 连接 。 


12.1.4 Windows 站 点 对 站 点 VPN 的 组 件 


基于 Windows Server 2008 系统 实现 的 站 点 对 站 点 VPN 连接 ， 大 致 结构 如 图 12-1 所 示 。 
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第 全 章 ”站 点 对 站 点 的 VPN 连接 


图 12-1 基于 Windows 的 站 点 对 站 点 VPN 的 组 件 


图 12-1 显示 了 基于 Windows 的 站 点 对 站 点 VPN 的 组 件 。 

基于 Windows 的 站 点 对 站 点 VPN 的 组 件 如 下 : 

到 VPN 路 由 器 。VPN 路 由 器 或 者 建立 站 点 对 站 点 VPN 连接 到 应 答 路 由 器 ， 并 且 通 过 基于 VPN 请 求 
拨号 连接 转发 数据 包 ， 或 者 监听 站 点 对 站 点 VPN 连接 尝试 ， 强 制 身 份 验证 和 连接 要 求 ， 并 且 通 过 
基于 的 VPN 请 求 拨号 连接 转发 数据 包 。 

日 ”RADIUS 服务 器 .RADIUS 服务 器 为 应 答 路 由 器 、 远程 访问 VPN 服务 器 和 其 他 类 型 访问 服务 器 的 网 
络 访问 尝试 提供 集中 身份 验证 和 授权 记 账 功能 。 

和 ”活动 目录 域 控制 器 。 活 动 目录 域 控制 器 验证 身份 验证 的 证 书 ， 并 提供 用 户 账户 信息 评估 应 答 路 由 
器 的 授权 。 

时 CA 服务 器 。CA 是 PKI 的 一 部 分 ， 负 责 发 布 呼叫 路 由 器 的 用 户 或 计算 机 证 书 和 应 答 服务 器 的 计算 
机 证 书 ， 以 及 站 点 对 站 点 VPN 连接 的 身份 验证 的 RADIUS 服务 器 。 


12.2 点 对 点 VPN 连接 的 规划 和 设计 


点 对 点 的 VPN 连接 功能 比较 强大 ， 对 实施 过 程 中 的 每 个 环节 要 求 都 非常 严格 。 安 全 级 别 需 求 较 低 的 用 
户 ， 则 可 以 只 配置 双方 的 VPN 路 由 器 和 内 网 路 由 即 可 。 如 果 用 户 需 求 的 安全 级 别 较 高 ， 则 仍 需要 配置 相应 
的 身份 验证 机 制 ， 如 数字 证 书 等 。 


12.2.1 VPN 协议 


在 点 对 点 模式 的 VPN 连接 中 ，Windows Server 2008 系统 允许 使 用 PPTP 和 L2TP/IPSec 协议 ， 有 关 该 
协议 的 详细 内 容 ， 可 参考 本 书 第 11 章 中 的 相关 介绍 。 


12.2.2 身份 验证 方式 


为 了 认证 尝试 VPN 连接 的 呼叫 路 由 器 , Windows Server 2008 支持 广泛 的 身份 验证 协议 ,例如 MS-CHAP 
v2 和 EAP-TLS: 
”MS-CHAP v2 是 一 种 基于 密码 的 身份 验证 方式 ， 提 供 彼此 的 身份 验证 。 
里 EAP-TLS 是 一 种 基于 证 书 的 身份 验证 方式 ， 与 PKI 联合 使 用 。EAP-TLS 也 提供 彼此 的 身份 验证 。 
对 于 EAP-TLS， 呼 叫 路 由 器 发 送 用 户 证 书 进 行 身份 验证 ， 并 且 验 证 服务 器 也 发 送 计算 机 证 书 进 行 
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身份 验证 。 
1. 身份 验证 协议 的 设计 选择 
如 果 用 户 拥有 PKI， 建 议 站 点 对 站 点 VPN 连接 使 用 EAP-TLS。 如 果 没 有 配置 PKI 或 者 不 具备 PKI， 则 
可 以 使 用 MS-CHAP v2。EAP-TLS 比 MS-CHAP v2 更 安全 ， 不 依赖 于 密码 ， 并 且 可 以 防御 离线 字典 攻击 。 
2. 身份 验证 协议 的 要 求 
对 基于 加 密 的 PPTP 连接 , 用 户 必须 使 用 EAP-TLS 或 MS-CHAP v2。 只 有 这 些 身份 验证 协议 可 以 提供 产 
生 预 会 话 初始 化 加 密 密 钥 的 机 制 。EAP-TLS 要 求 PKI 发 布 用 户 和 计算 机 证 书 。 
3. 注意 事项 
在 点 对 点 VPN 连接 中 ， 选 择 身份 验证 方式 时 应 注意 如 下 事项 : 
和 如果 用 户 必须 使 用 基于 密码 的 MS-CHAP v2， 则 需要 在 网 络 中 使 用 强 密码 。 强 密码 至 少 为 8 个 字 
符 ， 且 包含 大 小 写字 母 、 数 字 和 标点 符号 。 
里。 对 于 EAP-TLS， 呼 叫 路 由 器 默认 情况 下 验证 应 答 路 由 器 的 计算 机 证 书 。 
时 对 于 基于 L2TP/IPSec 的 连接 , 任何 用 户 级 的 身份 验证 协议 都 可 以 使 用 , 因为 身份 验证 发 生 在 VPN 
路 由 器 建立 IPSec 保护 通道 之 后 。 推 荐 使 用 EAP-TLS 或 MS-CHAP v2， 来 提供 有 效 的 用 户 身份 验 
证 和 彼此 身份 验证 。 


12.2.3 VPN 路 由 器 


VPN 路 由 器 建立 或 接受 基于 VPN 的 请 求 拨号 连接 。 在 整个 连接 过 程 中 , 呼叫 路 由 器 需要 完成 如 下 工作 : 
ma ”根据 连接 持久 性 、 管 理 员 动 作 或 数据 包 被 转发 的 时 间 建 立 VPN 连接 。 

ma 在 转发 数据 包 前 等 待 身份 验证 和 授权 。 

里 作为 路 由 器 ， 在 自己 站 点 的 节点 和 应 答 路 由 器 的 站 点 节点 之 间 转 发 数据 包 。 

应 答 路 由 器 需要 完成 如 下 工作 : 

和 监听 VPN 连接 尝试 。 

”在 允许 数据 传输 之 前 进行 身份 验证 和 授权 VPN 连接 。 

”作为 路 由 器 ， 在 自己 站 点 的 节点 和 呼叫 路 由 器 的 站 点 节点 之 间 转 发 数据 包 。 

1. 配置 路 由 和 远程 访问 


双方 站 点 的 VPN 路 由 器 都 是 借助 “路 由 和 远程 访问 ”配置 向 导 完 成 的 ， 开 始 阶段 双方 操作 完全 相同 。 
详细 配置 过 程 ， 可 参照 本 书 第 11 章 中 的 相关 介绍 。 


2. VPN 路 由 器 的 设计 


规划 和 设计 VPN 路 由 器 时 应 遵循 如 下 原则 : 

和 ”VPN 路 由 器 可 以 配置 为 从 DHCP 获取 IPv4 地 址 ， 或 者 从 手动 配置 的 地 址 范围 中 获取 IPv4 地 址 。 
使 用 DHCP 获取 IPv4 地 址 简化 了 配置 ; 但 是 ， 用 户 必须 确保 VPN 路 由 器 所 在 子 网 的 DHCP 范围 ， 
拥有 足够 的 地 址 分 配给 所 有 物理 连接 子 网 的 计算 机 和 最 大 数量 的 远程 访问 客户 端 。 

于 ”应答 路 由 器 可 以 评估 身份 验证 和 VPN 连接 的 授权 ， 或 者 依赖 RADIUS 服务 器 。 当 配置 应 答 路 由 器 
时 ， 用 户 可 以 为 身份 验证 或 记 账 选择 使 用 Windows 或 RADIUS。 
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于 “如果 RADIUS 服务 器 是 运行 Windows Server 2008 的 计算 机 和 网 络 策略 服务 器 (NPS), 则 其 必须 是 
活动 目录 域 的 成 员 。 

和 ” “路 由 和 远程 访问 服务 器 安装 向 导 ” 不 能 为 远程 访问 VPN 连接 自动 启用 IPv6 支持 。 

”对 于 即时 连接 +， 如 果 用 户 想 要 防止 在 特定 时 间或 对 特定 类 型 通讯 建立 连接 ， 应 配置 拨号 超时 或 请 
求 拨号 筛选 器 。 


12.2.4 Internet 基础 结构 


若 想 实现 呼叫 路 由 器 到 应 答 路 由 器 的 正常 通信 ， 首 先 必须 确保 应 答 路 由 器 的 DNS 名 称 或 IP 地 址 是 可 
以 到 达 的 ， 其 次 双方 的 VPN 路 由 器 必须 允许 VPN 通讯 进出 站 。 

1. 应 答 路 由 器 名 称 的 可 解析 性 

在 呼叫 路 由 器 的 请 求 拨号 接口 中 , 用户 都 是 通过 FQDN 来 引用 应 答 路 由 器 的 ,而 非 IPv4 或 IPv6 地 址 。 
只 要 FQDN 名 称 可 以 解析 为 IPv4 或 IPv6 地 址 ， 用 户 就 可 以 使 用 FQDN。 所 以 ， 用 户 必 须 确保 当 配 置 VPN 
连接 时 ， 应 答 路 由 器 所 使 用 的 名 称 可 以 解析 为 DNS 服务 器 所 使 用 的 IPv4 或 IPv6 地 址 。 

2. 应 答 路 由 器 的 可 到 达 性 

为 了 确保 可 到 达 性 ， 应 答 路 由 器 必须 分 配 一 个 公有 IPv4 地 址 或 者 全 局 IPv6 地 址 。 如 果 被 分 配 一 个 静 
态 公有 IPv4 地 址 或 全 局 IPv6 地 址 前 组 ， 通 常情 况 下 不 会 出 现 问 题 。 在 一 些 IPv4 配置 中 ， 应 答 路 由 器 实际 
上 使 用 专 有 IPv4 地 址 配置 ， 并 且 拥有 公有 的 静态 IPv4 地 址 。 在 Internet 和 应 答 路 由 器 之 间 的 设备 将 应 答 
路 由 器 的 公有 和 有 效 IPv4 地 址 转换 为 数据 包 发 送 到 应 答 路 由 器 。 

尽管 路 由 基础 结构 可 能 提供 可 到 达 性 ， 但 是 应 答 路 由 器 可 能 由 于 防火 墙 、 数 据 包 筛 选 器 路 由 器 、NAT、 
安全 网 关 或 其 他 类 型 设备 的 设置 ， 而 无 法 到 达 。 


12.2.5 ”站 点 网 络 基础 结构 


站 点 的 网 络 基础 结构 是 VPN 设计 的 重要 元 素 。 如果 没有 适当 的 内 网 基础 结构 设计 ,VPN 路 由 器 就 无 法 
正常 工作 。 例 如 ， 无 法 解析 内 网 主机 名 称 、 无 法 获取 内 网 可 到 达 的 IPv4 地 址 或 IPv6 子 网 前 级 等 。 

1. 内 网 名 称 解 析 

如 果 呼 叫 路 由 器 使 用 DNS 或 WINS 服务 器 的 IP 地 址 进行 配置 , 那么 DNS 和 WINS 服务 器 的 IPv4 地 址 
将 不 能 在 PPP 连接 协商 过 程 中 从 应 答 路 由 器 请 求 。 如 果 呼叫 路 由 器 没有 使 用 DNS 或 WINS 服务 器 的 IP 地 
址 进行 配置 ,那么 DNS 和 WINS 服务 器 将 被 请 求 。 应答 路 由 器 不 会 从 呼叫 路 由 器 请 求 DNS 或 WINS 服务 器 
的 IPv4 地 址 。 

与 基于 Windows 的 远程 访问 客户 端 不 同 ,呼叫 路 由 器 不 会 发 送 DHCP 请 求 消息 到 应 答 路 由 器 , 来 获取 
其 他 TCP/IP 配置 消息 。 

默认 情况 下 ， 呼 叫 路 由 器 不 会 使 用 从 应 答 路 由 器 获得 的 DNS 或 WINS 服务 器 注册 自己 。 为 了 更 改 该 行 
为 ， 设 置 注册 表 值 HKEY LOCAL MACHINE\System\CurrentControlSet\Services\Rasman\PPP\、Control- 
Protocols\BuiltIn\RegisterRoutersWithNameServers 为 1。 
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2. 路 由 到 内 网 的 VPN 路 由 器 


每 台 VPN 路 由 器 都 是 一 个 IPv4 或 IPv6 路 由 器 ， 必 须 使 用 IPv4 或 IPv6 路 由 进行 适当 的 配置 ， 使 得 
Internet 上 所 有 位 置 和 VPN 路 由 器 站 点 都 可 到 达 。 每 台 VPN 路 由 器 需要 进行 如 下 配置 : 

”指向 防火 墙 或 路 由 器 直接 连接 Internet 的 默认 路 由 ， 使 用 户 可 以 到 达 Internet 上 的 所 有 位 置 。 

日” 概括 了 VPN 路 由 器 站 点 的 所 有 IPv4 或 IPv6 地 址 空间 的 一 条 或 多 条 路 由 , 使 VPN 路 由 器 站 点 的 所 

有 路 由 从 VPN 路 由 器 都 可 到 达 。 如 果 没 有 这 些 路 由 ， 则 没有 连接 到 相同 子 网 的 VPN 路 由 器 的 节 
点 不 可 到 达 。 

管理 员 可 以 通过 如 下 两 种 方式 为 VPN 路 由 器 分 配 IPv4 地 址 。 

到 On-subnet address range: VPN 路 由 器 所 属 内 网 子 网 的 地 址 范围 。 

于 Offsubnet address range: VPN 路 由 器 逻辑 所 属 的 不 同 子 网 的 地 址 范围 。 

如 果 使 用 On-subnet address range 方式 ， 则 不 需要 配置 其 他 路 由 ， 因 为 VPN 路 由 器 可 以 作为 VPN 路 
由 器 的 所 有 数据 包 的 ARP 代理 。 站 点 子 网 的 路 由 器 和 主机 转发 数据 包 到 VPN 接口 ， 然 后 VPN 路 由 器 再 转 
发 到 VPN 路 由 器 。 

如 果 使 用 Off-subnet address range 方式 ， 则 用 户 必须 添加 概括 子 网 地 址 范围 的 路 由 到 子 网 路 由 基础 结 
构 中 ， 保 证 VPN 路 由 器 的 通讯 被 转发 到 VPN 路 由 器 ， 然 后 从 VPN 路 由 器 转发 到 适当 的 VPN 路 由 器 。 为 了 
提供 路 由 地 址 范围 的 最 好 概括 ， 应 选择 可 以 使 用 单一 前 级 和 子 网 掩 码 表示 的 地 址 范围 。 

为 了 添加 概括 子 网 地 址 范围 的 路 由 到 站 点 路 由 基础 结构 中 , 应 添加 静态 路 由 到 VPN 服务 器 的 相 邻 路 由 
器 中 。 配 置 相 邻 路 由 器 传播 该 静态 路 由 到 使 用 动态 路 由 协议 的 站 点 中 的 其 他 路 由 器 上 。 

如 果 内 网 包含 单独 的 子 网 ， 用 户 必须 为 子 网 地 址 范围 的 持续 路 由 配置 每 个 站 点 主机 ， 或 者 使 用 VPN 路 
由 器 作为 默认 网 关 配 置 每 个 站 点 主机 。 所 以 ， 对 包含 单独 子 网 的 SOHO 网 络 推荐 使 用 On-subnet address 
range 池 。 


© 注意 :建议 使 用 On-subnet address range 方式 手动 配置 VPN 路 由 器 ， 通 过 DHCP 获取 IPv4 地 址 或 者 手动 
配置 On-subnet 地 址 池 。 


12.2.6 ”身份 验证 基础 结构 


在 点 对 点 的 VPN 连接 中 ， 身 份 验证 环节 主要 包括 认证 呼叫 路 由 器 的 数字 证 书 、 授 权 VPN 连接 、 记 录 
VPN 连接 的 创建 和 终止 以 及 确认 用 户 账户 的 真实 身份 等 。 基 本 验证 基础 结构 主要 是 VPN 路 由 器 本 身 、 
RADIUS 服务 器 或 域 控制 器 。 


1. 为 身份 验证 使 用 Windows 或 RADIUS 

基于 Windows Server 2008 的 VPN 路 由 器 可 以 配置 使 用 Windows 或 RADIUS 来 进行 身份 验证 或 记 账 。 
具体 应 用 和 配置 过 程 与 远程 访问 VPN 完全 相同 ， 用 户 可 以 参考 本 书 第 11 章 中 的 相关 介绍 。 

2. 域 用 户 账户 和 组 

活动 目录 域 包含 路 由 和 远程 访问 或 NPS 所 使 用 的 用 户 账户 和 组 , 进行 认证 和 授权 VPN 连接 尝试 。 用 户 
账户 包含 用 户 名 和 用 户 密码 的 加 密 形式 ， 用 于 验证 呼 则 路 由 器 的 用 户 证 书 。 此 外 账户 属性 决定 了 用 户 账户 
是 否 启用 、 锁 定 或 允许 登录 。 如 果 用 户 账户 被 禁用 、 锁 定 或 只 允许 在 特定 时 间 登 录 ， 那 么 站 点 对 站 点 VPN 
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请 求 拨 号 路 由 器 必须 能 够 按 需 连接 ， 不 需要 人 工 干涉 ， 所 以 呼叫 路 由 器 的 用 户 账户 必须 在 “账户 ” 选 
项 卡 中 的 账户 属性 对 话 框 中 进行 配置 。 确 保 取消 选中 “用 户 必须 在 下 次 登录 时 更 改 密码 ” 复 选 框 ， 以 及 “ 密 
码 不 会 过 期 ” 复 选 框 已 经 选中 。 
用 户 应 该 为 每 台 呼 叫 路 由 器 使 用 独立 的 用 户 账户 ， 每 个 用 户 账户 应 该 拥有 匹配 应 答 路 由 器 的 请 求 拨号 
接口 的 用 户 名 。 
3. 注意 事项 
配置 身份 验证 基础 结构 时 应 注意 如 下 事项 : 
于。 如 果 拥有 多 个 VPN 服务 器 和 路 由 器 ， 并 且 想 要 进行 集中 身份 验证 、 授 权 和 记 账 服务 ， 则 可 以 使 用 
RADIUS 进行 身份 验证 和 记 账 。 
里 如果 用 户 账 户 数据 库 为 活动 目录 域 服务 ， 则 可 以 使 用 NPS 作为 RADIUS 服务 器 。 
”为 了 更 好 地 管理 远程 访问 VPN 连接 的 授权 ， 为 VPN 访问 在 活动 目录 中 创建 通用 组 ， 包 含 允许 建 
立 远程 访问 VPN 连接 的 用 户 账户 的 通用 组 。 
无 论 为 本 地 或 在 NPS 服务 器 上 配置 ， 都 可 以 使 用 指定 VPN 的 网 络 策略 授权 VPN 连接 ， 并 且 指 定 连接 
约束 和 要 求 。 


122.7 PKI 


为 L2TP 连接 和 使 用 EAP-TLS 的 站 点 对 站 点 VPN 连接 执行 基于 证 书 的 身份 验证 , 证 书 机 构 必 须 在 验证 
过 程 中 发 布 适当 的 证 书 ， 并 且 验 证 提交 的 证 书 。 

1. L2TP/IPSec 连接 的 计算 机 证 书 

点 对 点 VPN 连接 中 L2TP/IPSec 连接 的 计算 机 证 书 , 与 远程 访问 VPN 完全 相同 , 详细 内 容 可 参考 第 11 
章 中 的 相关 介绍 。 

2. EAP-TLS 的 PKI 

为 站 点 对 站 点 VPN 连接 执行 EAP-TLS 身份 验证 时 ， 应 满足 下 列 要 求 : 

于。 呼叫 路 由 器 必须 在 EAP-TLS 认证 过 程 中 使 用 用 户 证 书 配置 。 

和 ”认证 服务 器 必须 在 EAP-TLS 认证 过 程 中 使 用 计算 机 证 书 配置 。 

在 下 列 条 件 满 足 时 EAP-TLS 身份 验证 成 功 : 

时。 呼叫 路 由 器 提交 有 效 的 用 户 证 书 ， 该 证 书 由 应 答 路 由 器 信任 的 根 CA 的 证 书 链 中 的 CA 发 布 。 

里 “认证 服务 器 提交 有 效 的 计算 机 证 书 ， 该 证 书 由 呼叫 路 由 器 信任 的 根 CA 的 证 书 链 中 的 CA 发 布 。 

对 于 Windows Server 2008 或 Windows Server 2003 CA， 路 由 器 证 书 是 请 求 拨号 连接 的 特殊 类 型 的 用 
户 证 书 。 路 由 器 证 书 必须 获取 ， 并 且 映 射 到 活动 目录 用 户 账户 中 。 当 呼叫 路 由 器 尝试 VPN 连接 时 ， 路 由 器 
证 书 在 身份 验证 过 程 中 发 送 。 如 果 路 由 器 证 书 有 效 ， 认 证 服务 器 可 以 确定 适当 的 用 户 账户 获取 拨号 属性 。 

3. 注意 事项 

在 点 对 点 的 VPN 连接 中 应 用 PKI 时 ， 应 注意 如 下 事项 : 

”对 于 使 用 计算 机 证 书 进行 身份 验证 的 L2TP/IPSec 站 点 对 站 点 VPN 连接 ， 用 户 必须 在 每 台 呼 叫 路 
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只 配置 呼叫 路 由 器 和 应 答 路 由 器 即 可 快速 实现 站 点 到 各 


由 器 和 应 答 路 由 器 上 安装 计算 机 证 书 。 
为 了 认证 使 用 EAP-TLS 的 VPN 连接 , 呼叫 路 由 器 必须 安装 了 用 户 证 书 , 并 且 认 证 服务 器 必须 安装 
了 计算 机 证 书 。 


对 于 EAP-TLS 身份 验证 ， 呼 叫 路 由 器 的 用 户 证 书 要 求 如 下 。 

e ”证 书 必须 包含 专 有 密 钥 。 

必须 由 企业 CA 发 布 或 者 映射 到 活动 目录 的 用 户 账户 。 
让 必须 绑 定 到 NPS 服务 器 上 的 受信 任 的 根 CA， 并 且 在 网 络 策略 中 为 站 点 对 站 点 VPN 连接 
定 的 任何 检查 不 能 失败 。 

上 必须 在 增强 密 钥 使 用 区 域 使 用 客户 端 身份 验证 进行 配置 。 
题 选择 名 称 必须 包含 用 户 账户 的 UPN。 

AP-TLS 身份 验证 ， 应 答 路 由 器 的 用 户 证 书 要 求 如 下 。 
必须 包含 专 有 密 钥 。 

必须 由 企业 CA 发 布 或 者 映射 到 活动 目录 的 用 户 账户 

上 必须 绑 定 到 NPS 服务 器 上 的 受信 任 的 根 CA。 

上 必须 在 增强 密 钥 使 用 区 域 使 用 服务 器 身份 验证 进行 配置 。 
必须 由 加 密 服 务 提供 商 (CPS) 配 置 。 

证 书 主题 选择 名 称 必须 包含 服务 器 的 FQDN。 


二 
过 总 避 


对 于 
. 
. 
. 
. 
. 


训 重 疝 抽 车 凡 


12.3 配置 站 点 对 站 点 VPN 连接 


点 的 VPN 连接 ， 但 是 默认 情况 下 ， 双 方 都 是 采 


用 基本 的 Windows 身份 验证 方式 ， 安 全 性 难以 保证 。 通 常情 况 下 ， 借 助 Windows Server 2008 系统 ， 建 立 
一 个 安全 可 靠 的 点 对 点 VPN 连接 ， 包 括 如 下 配置 任务 


12.3.1 
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配置 证 书 

配置 Internet 基础 结构 

配置 用 户 账户 和 组 的 活动 目录 
配置 RADIUS 服务 器 
配置 应 答 路 由 器 

配置 呼叫 路 由 器 

配置 站 点 网 络 基础 结构 

配置 站 点 问 网 络 基础 结构 


配置 VPN 路 由 器 证 书 


需要 明确 的 是 ，VPN 路 由 器 证 书 并 非 必需 要 素 ， 它 是 为 了 提高 VPN 连接 的 安全 性 而 配置 的 。 当 使 用 证 
书 身份 验证 的 L2TP/IPSec 连接 ,或 者 基于 用 户 证 书 的 EAP-TLS 身份 验证 VPN 连接 时 ,用 户 必须 为 每 台 VPN 
路 由 器 配置 相应 的 计算 机 证 书 或 用 户 证 书 。 计 算 机 证 书 的 颁发 和 安装 与 远程 访问 VPN 完全 相同 ， 此 处 不 复 
费 述 。 这 里 主要 介绍 VPN 路 由 器 用 户 证 书 的 部 署 。 用 户 证 书 必 须 能 够 获取 并 映射 到 呼叫 路 由 器 所 在 域 中 的 
用 户 账户 。 


1. 为 呼叫 路 由 器 创建 用 户 账户 

用 户 可 以 通过 使 用 “新 建 请 求 拨号 接口 向 导 ” 和 “活动 目录 用 户 和 组 ”节点 来 完成 该 工作 ， 推 荐 使 用 
“新 建 请 求 拨 号 接口 向 导 ” 完 成 。 详 细 操 作 过 程 可 参考 本 章 “ 配 置 呼叫 路 由 器 ”中 的 相关 内 容 。 

2. 配置 Windows Server 2008 CA 发 布 路 由 器 证 书 


打开 “证 书 颁发 机 构 ” 控 制 台 窗口 ， 展 开 CA 名 称 ， 右 击 “ 证 书 模板 ”， 依 次 选择 “新 建 ”一 “要 发 
布 证 书 模板 ”命令 ， 显 示 如 图 12-2 所 示 的 “启用 证 书 模板 ”对 话 框 。 选 中 “路 由 器 ( 脱 机 申请 } ”模板 ， 单 
击 “ 确 定 ”按钮 即 可 添加 到 “证 书 颁 发 机 构 ” 控 制 台 的 “证 书 模板 ”中 。 


3. 申请 路 由 器 ( 脱 机 申请 ) 证 书 


© 


© 


四 


@ 


登录 应 答 路 由 器 系统 ， 在 IE 浏览 器 地 址 栏 中 ， 输 入 CA 服务 器 的 地 址 ， 例 如 : “http:// 
211.82.218.251/certsrv”， 按 Enter 键 ， 显 示 如 图 12-3 所 示 的 页 面 。 注 意 ， 如 果 证 书 服务 器 设置 
了 其 他 身份 验证 方式 ， 如 Active Directory 用 户 身份 认证 ， 则 需要 输入 相关 的 用 户 名 和 密码 方 可 
登录 。 


| | Cer 
人 EN I | 


有 


其 红 网站 力 从 的 Web 代入， 国 子 闻 从 融 广 演 本 基 他 科 序 看 生 书 ， 尖 和 介 几 和 书 ， 们 可 以 同 这 
Web 玉生 重信 周 六 入 从 全 出 全 区 名 共 名 呈 类 从， 基 根 浊 呈 生生 的 和 地 各 和 叶 生 其 作 宇 全 任 各 


和 向 本 以 从 用 将 网站 下 二 书本 六 机 的 (CA) 生 名 于 书 轩 ， 中 全 忆 忆 梢 列 下 (C 风 ) 呈 帮 理 村 反 中 浊 的 从 


密 泛 知 夏 代理 
户 训 且 从 HE 次 关 Actve Dectory 挝 书面 学 的 Pp 纸 他 时， 调 估 同 Active Deectory 征 蔬 最 务 广 增 
| 于 邮 御 ， 宫 户 漠 身 份 丛 证 ， 宏 陀 卡 至 录 罗 
音 产 人 内 正 ， 御 上 各 录 二 人 
市 交代 埋 Ernrre TT 
了 种 ch 证 反 、 运 色情 牙 CRL 
工 TT Ri | 
图 12-2 “启用 证 书 模板 ”对 话 框 图 12-3 “欢迎 使 用 ”页 面 


单 击 “ 申 请 证 书 ” 超 级 链接 ， 显 示 “ 申 请 一 个 证 书 ” 页 面 。 继 续 单 击 “ 高 级 证 书 申请 ”超级 链接 ， 
显示 如 图 12-4 所 示 的 “高 级 证 书 申请 ”页 面 。 

单 击 “ 创 建 并 向 此 CA 提交 一 个 申请 ”超级 链接 ， 显 示 “ 证 书 模板 ”页 面 。 在 证 书 模板 区 域 ， 选 
择 路 由 器 ( 脱 机 申请 ] 或 者 CA 管理 员 检 测 到 的 模板 名 称 ， 并 输入 用 户 名 ， 如 图 12-5 所 示 。 在 “ 密 
钥 选项 ”选项 区 域 中 ， 选 择 “ 创 建新 密 钥 集 ” 和 “自动 密 钥 容 器 名 称 ” 单 选 按钮 。 

单 击 “ 提 交 ” 按 钮 ， 即 可 开始 提交 申请 。 相 对 于 独立 CA 而 言 ， 企 业 CA 可 以 立即 响应 用 户 申 请 证 
书 的 请 求 ， 并 颁发 证 书 。 完 成 后 显示 如 图 12-6 所 示 的 “证 书 已 颁发 ”页 面 。 继 续 单 击 “ 安 装 此 证 
书 ”超级 链接 ， 即 可 安装 该 证 书 。 


4. 导出 路 由 器 (离线 申请 ) 证 书 为 .CER 文件 


(OY 


加 


打开 MMC 控制 台 ， 并 添加 本 地 计算 机 上 的 计算 机 证 书 控制 单元 。 依 次 展开 “个 人 ”一 “证 书 ” 
节点 ， 如 图 12-7 所 示 。 

右 击 通过 Web 方式 申请 的 路 由 器 (离线 申请 )] 证 书 ， 依 次 单 击 “ 所 有 任务 ”一 “导出 ”命令 ， 显 示 
如 图 12-8 所 示 的 “欢迎 使 用 证 书 导 出 向 导 ” 界 面 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-9 所 示 的 “导出 私 钥 ” 界 面 ， 选 择 “ 不 ， 不 要 导出 私 钥 ” 单 选 


[447 1 


PE TT TT 


CA 的 大 人 可 以 请 的 还 书号 引 、 剖 击 下 到 直送 之 一 宁 - 
并 向 tCA 境 交 一 个 证 涯 ， 


图 12-4 “高 级 证 书 申请 ”页 面 图 12-5 设置 证 书 模板 


TDTTTDEETT 


TIE 


生 国 各 国生 国 灿 国生 团 山 臣 | 


图 12-6 “证 书 已 颁发 ”页 面 


图 12-8 “欢迎 使 用 证 书 导 出 向 导 ” 界 面 图 12-9 “导出 私 钥 ” 界 面 
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第 全 章 站 点 对 站 点 的 VPN 连接 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-10 所 示 的 “导出 文件 格式 ”界面 ， 选 择 “DER 编码 二 进 制 
X.509(.CER) ”作为 导出 文件 格式 。 
回 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 12-11 所 示 的 “要 导出 的 文件 ”界面 ， 设 置 证 书 文件 的 保存 路 径 


和 文件 名 称 。 


图 12-10 “导出 文件 格式 ”界面 图 12-11 “要 导出 的 文件 ”界面 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-12 所 示 的 “正在 完成 证 书 导出 向 导 ” 界 面 。 
@ 单 击 “完成 ”按钮 ， 弹 出 如 图 12-13 所 示 的 “导出 成 功 ”提示 框 。 


图 12-12 “正在 完成 证 书 导出 向 导 ” 界 面 图 12-13 “导出 成 功 ”提示 框 


5. 映射 .CER 证 书 文件 到 适当 的 用 户 账户 


@@ ”登录 到 域 控制 器 ， 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 依 次 选择 “查看 ”一 “高 级 功能 ” 
命令 ， 如 图 12-14 所 示 。 

回 ”展开 被 赋予 呼叫 路 由 器 拨 入 权限 的 用 户 账 户 所 在 组 织 单位 ， 右 击 用 户 账户 或 组 ， 依 次 选择 “所 有 
任务 ”一 “名 称 映射 ”命令 ， 显 示 如 图 12-15 所 示 的 “安全 身份 映射 ”对 话 框 。 

图 在 “X509 证 书 ”选项 卡 中 ， 单 击 “ 添 加 ”按钮 ， 选 择 从 VPN 呼叫 路 由 器 上 导出 的 .cer 证 书 文件 ， 
如 图 12-16 所 示 。 

图 单 击 “ 打 开 ” 按 钮 ， 显 示 如 图 12-17 所 示 的 “证 书 属性 ”界面 ， 从 中 可 以 看 到 证 书 的 颁发 者 以 及 
主题 信息 。 
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图 12-14 活动 目录 用 户 和 计算 机 窗口 图 12-15 “安全 身份 映射 ”对 话 框 


图 12-16 选择 .cer 证 书 文件 图 12-17 “证 书 属性 ”界面 
回 单 击 “ 确 定 ” 按 钮 , 显示 如 图 12-18 所 示 的 “安全 身份 映射 "对话 框 。 可 以 看 到 证 书 已 添加 到 “X.509 
证 书 ” 列 表 中 。 


6. 导出 路 由 器 (离线 申请 ) 证 书 为 .PFX 文件 


.PFX 格式 的 证 书 文件 主要 用 于 呼叫 路 由 器 端 ， 导 出 过 程 中 已 经 对 文件 内 容 加 密 ， 传 输 更 加 安全 。 导 出 
过 程 与 导出 .cer 证 书 文件 类 似 ， 下 面 主要 介绍 不 同步 又 。 

名 ”在 本 地 计算 机 证 书 控制 台 窗 口中 ， 右 击 路 由 器 (离线 申请 ) 证 书 ， 依 次 选择 “所 有 任务 ”一 “导出 ” 
命令 ， 单 击 “ 下 一 步 ”按钮 ， 在 如 图 12-19 所 示 的 “证 书 导 出 向 导 ” 对 话 框 中 ， 选 择 “是 ， 导 出 
私 钥 ” 单 选 按钮 。 

加 单 击 “ 下 一 步 ” 按钮， 显示 如 图 12-20 所 示 的 “导出 文件 格式 ”界面 选择 “个 人 信息 交换 -PKCS 
#12(.PFX) ” 单 选 按 钮 。 选 中 “如 果 可 能 ， 则 数据 包括 证 书 路 径 中 的 所 有 证 书 ” 复 选 框 。 

图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-21 所 示 的 “密码 ”界面 ， 在 “密码 ”和 “输入 并 确认 密码 ” 
文本 框 中 ， 输 入 证 书 的 私 钥 。 

图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 要 导出 的 文件 ”对 话 框 ， 输 入 证 书 文件 的 保存 路 径 和 名 称 即 可 。 接 
下 来 的 操作 与 导出 .cer 文件 完全 相同 ， 此 处 不 复 袭 述 。 
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2 ?| x| i 
基 50s 证 书 | 人 arberos 名 称 | 您 可 以 过 至 将 防 负 和 证 节 一 起 导出 
和 er 
-509 证 书 邓 ) 和 
Chswj-IC. eyolpen net CH-coolyeniSJTIE-CA EN 
ET 。 用 院 邓 ) EtiiahFs 们 中 
We | | 师 @ | 
图 12-18 “安全 身份 映射 ”对 话 框 图 12-19 “证 书 导出 向 导 ” 对 话 框 
导出 文 件 格式 
可 以 用 不 和文 折 居 式 导出 证 书 * 要 保证 宛 全 ， 您 必 渍 用 生 习 识 护 私 钥 * 
注入 并 确认 宇 科 > 
EB) 
no 生 入 省 确认 训 胡 中标) C) 
全 小 人 入 咎 充 执 -Pars 12 (787) ) si 
0 可 下 于 后生 
厂 如果 导 出 成 功 , 吊 院 密 包 9 
SR 
ie FTE 
了 芋 第 立 件 增 芍 理光 信息 
cE-#m [TT 。 B 有 STi m 
图 12-20 “导出 文件 格式 ”界面 图 12-21 “密码 ”界面 


7. 在 呼叫 路 由 器 上 导入 路 由 器 (离线 申请 ).PFX 证 书 文件 
使 用 可 移动 存储 设备 或 者 网 络 ， 将 从 应 答 路 由 器 上 导出 的 PFX 证 书 文件 发 送 到 呼叫 路 由 器 上 ， 接 着 执 
行 如 下 导入 过 程 。 
@ 右 击 证 书 文件 并 从 弹出 的 快捷 菜单 中 选择 “安装 证 书 ”命令 ， 显 示 如 图 12-22 所 示 的 “欢迎 使 用 
证 书 导入 向 导 ” 界 面 。 
回 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 12-23 所 示 的 “证 书 存 储 ” 界 面 。 选 择 “ 将 所 有 的 证 书 放 入 下 列 
存储 ” 单 选 按钮 ， 然 后 单 击 “ 浏 览 ” 按 钮 ， 选 择 “个 人 ”选项 。 


-au[F-25 _ an | 
12-22 “欢迎 使 用 证 书 导入 向 导 ” 界 面 12-23 “证 书 存储 ”界面 
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@ 安全 内 幕 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-24 所 示 的 “正在 完成 证 书 导入 向 导 ” 界 面 。 
图 单 击 “完成 ”按钮 ， 弹 出 如 图 12-25 所 示 的 “导入 成 功 ” 提 示 框 。 


【 


图 12-24 “正在 完成 证 书 导 入 向 导 ” 界 面 图 12-25 “导入 成 功 ”提示 框 


12.3.2 配置 拨 入 用 户 账 户 


如 果 用 户 在 请 求 拨号 接口 向 导 中 配置 自动 呼叫 路 由 器 添加 用 户 账 户 ， 那 么 将 自动 配置 正确 的 用 户 账户 
设置 。 如 果 用 户 手动 创建 呼叫 路 由 器 的 用 户 账户 ， 应 确保 在 “ 拨 入 ”选项 卡 中 ， 网 络 访问 权限 必须 设置 为 
“允许 访问 ”或 者 “通过 NPS 网 络 策略 控制 访问 ”， 如 图 12-26 所 示 。 


另外 ， 在 “账户 ”选项 卡 中 ， 必 须 确 保 已 经 取消 选中 “用 户 下 次 登录 时 须 更 改 密码 ” 复 选 杠 ， 并 且 选 
中 “ 密 但 永 不 过 期 ”选项 框 ， 如 图 12-27 所 示 。 


图 12-26 “ 拨 入 ”选项 卡 图 12-27 “账户 ”选项 卡 


12.3.3 配置 RADIUS 服务 器 


在 点 对 点 VPN 连接 中 ，RADIUS 服务 器 主要 负责 验证 拨 入 用 户 账户 的 身份 ， 以 及 对 访问 和 操作 过 程 进 
行 记 账 。RADIUS 服务 器 上 相关 策略 的 配置 ， 与 远程 访问 VPN 连接 完全 相同 。 详 细 操作 可 参考 第 11 章 中 的 
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第 全 章 站 点 对 站 点 的 VPN 连接 


相关 内 容 。 


12.3.4 ”配置 应 答 路 由 器 


1. 准备 工作 


配置 站 点 对 站 点 VPN 连接 的 应 答 路 由 器 之 前 ， 应 确保 已 经 完成 如 下 准备 工作 : 

@ 如 果 使 用 L2TP/IPSec 或 EAP-TLS 方式 建立 安全 连接 ， 必 须 先 在 应 答 路 由 器 上 安装 计算 机 证 书 。 

和 ”为 应 答 路 由 器 配置 正确 的 IP 地 址 、DNS 服务 器 和 内 网 WINS 服务 器 。 为 了 防止 默认 路 由 与 指向 
Internet 的 默认 路 由 冲突 ， 用 户 不 要 在 内 网 连接 中 配置 默认 网 关 。 

于 ”运行 “路 由 和 远程 访问 ”服务 器 安装 向 导 ， 安 装 和 配置 VPN 服务 器 。 

a ”配置 请 求 拨号 接口 。 


2. 安装 和 配置 应 答 路 由 器 


与 安装 远程 访问 VPN 连接 相同 ， 用 户 需 要 先 运行 “路 由 和 远程 访问 ”服务 器 安装 向 导 ， 安 装 VPN 服 
务 器 。 具 体 安装 过 程 可 参考 本 书 第 11 章 中 的 相关 内 容 ， 此 处 不 复 袭 述 。 默 认 情况 下 ，“ 路 由 和 远程 访问 ” 
服务 器 安装 向 导 ， 不 会 自动 启用 本 地 IPv6 功能 。 在 点 对 点 的 VPN 连接 中 ， 用 户 还 可 以 根据 需要 启用 站 点 
内 网 的 IPv6 功能 。 
@ 打开 “路 由 和 远程 访问 ”窗口 ， 右 击 VPN 服务 器 的 名 称 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
显示 如 图 12-28 所 示 的 服务 器 属性 对 话 框 。 选 中 “IPv6 路 由 器 ” 复 选 框 ， 选 择 “ 局 域 网 和 请 求 拨 
号 路 由 ” 单 选 按钮 。 

@ 切换 至 如 图 12-29 所 示 的 IPv6 选项 卡 ， 选 中 “启用 IPv6 转发 ”和 “启用 默认 的 路 由 通告 ” 复 选 
框 。 输 入 分 配给 基于 IPv6 的 VPN 路 由 器 的 子 网 前 绥 ， 用 户 不 需要 指定 前 绥 长 度 。 


图 12-28 服务 器 属性 对 话 框 图 12-29 IPv6 选项 卡 
图 单 击 “确定 ”按钮 ， 弹 出 如 图 12-30 所 示 的 “路 由 和 远程 访问 ”提示 框 。 单 击 “ 是 ”按钮 即 可 。 
3. 配置 请 求 拨号 接口 


@ 打开 “路 由 和 远程 访问 ”窗口 ， 右 击 “ 网 络 接口 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 请 求 拨号 接 
口 ” 命 令 ， 显示 如 图 12-31 所 示 的 “欢迎 使 用 请 求 拨号 接口 向 导 ” 界 面 。 
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图 12-30 “路 由 和 远程 访问 ”提示 框 图 12-31 “欢迎 使 用 请 求 拨号 接口 向 导 ” 界 面 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-32 所 示 的 “接口 名 称 ”界面 ， 输 入 请 求 拨号 接口 的 名 称 。 对 
于 双向 连接 ， 该 名 称 与 呼叫 路 由 器 的 用 户 证 书 的 用 户 名 称 相同 。 

图 单 击 “ 下 一 步 ” 按钮， 显示 如 图 12-33 所 示 的 “连接 类 型 ”界面 选择 “使 用 虚拟 专用 网 络 (VPN) 
连接 ” 单 选 按钮 。 


图 12-32 “接口 名 称 ”界面 图 12-33 “连接 类 型 ”界面 


图 单 击 “ 下 一 步 ” 按 钮 , 显示 如 图 12-34 所 示 的 “VPN 
类 型 ” 界面 ， 根 据 需 要 选择 “自动 选择 ”、“ 点 对 
点 隧道 协议 (PPTP)” 或 “第 2 层 隧道 协议 (L2TP)” 
单 选 按钮 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-35 所 示 的 “ 目 
标 地 址 ”界面 ， 输 入 呼叫 路 由 器 的 名 称 、IPv4 地 址 
或 IPv6 地 址 。 对 于 单 向 的 站 点 对 站 点 VPN 连接 ， 
用 户 可 以 跳 过 这 一 步 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-36 所 示 的 “ 协 
议 及 安全 ”界面 。 如 果 已 经 通过 其 他 方式 为 呼叫 路 
由 器 创建 了 用 户 账户 ， 则 此 处 使 用 默认 设置 即 可 ; 图 12-34 “VPN 类 型 ” 界面 
和 否则， 可 以 选中 “添加 一 个 用 户 账户 使 远程 路 由 器 可 以 拨 入 ” 复 选 框 ， 同 时 创建 相关 用 户 账户 。 

@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 远 程 网 络 的 静态 路 由 ”界面 。 单 击 “ 添 加 ”按钮 ， 显 示 如 图 12-37 
所 示 的 “静态 路 由 ”对 话 框 ， 来 添加 分 配给 请 求 拨号 接口 的 静态 路 由 。 添 加 能 够 概括 呼叫 路 由 器 
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目标 地 址 先入 及 
运 和 前 由 基 的 所 和 或 直至 计 公 ? 为 这 个 二 入 选择 传输 和 安全 半 所 。 
| 
从 下 存 汪 凡凡 南 区 地 二 ， 
六 人 万 在 此 按 D 上 党 选择 区 趟 提包 D。 


过 机 称臣 下 地 址 gp microsofr com 或 57 54 01、 
0 OD 


下 测 和 全 用 F 疡 入 直 其 责 枯 可 以 友和 GE 
村 


[ED 
is 
上- 生 四 [下 -二 四 让。 了 用 ET mn 
图 12-35 “目标 地 址 ”界面 图 12-36 “协议 及 安全 ”界面 


图 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 12-38 所 示 的 “ 拨 入 凭据 ”界面 。 在 “密码 ”和 “确认 密码 ” 文 


本 框 中 ， 输 入 呼叫 路 由 器 的 用 户 账户 的 密码 。 
还 可 同人 的 起 中 
六 踢 是 定义 、 机 如上， 


ee 


对 
一 他 十 得 同 络 支持 使 用 Tv4) 一 
a Ey 
网 2 2 .25 0 
Ri 3 
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12-37 “静态 路 由 ”对 话 框 


@ 单 击 “ 下 一 步 ” 按钮， 显示 如 图 12-39 所 示 的 “ 
在 “ 域 ”文本 框 中 输入 账户 域名 称 ， 并 且 在 “ 密 
四 
按钮 。 


让 出 殖 
话 榨 到 云 得 廊 由 器 时 要 从 春 用 的 同 户 名 和 证 再 、 


CE aexmenet 
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12-39 “ 拨 出 凭据 ”界面 


图 12-38 


拨 出 赁 据 "界面 
四 ”和 “ 确 


“ 拨 入 凭据 ”界面 


在 “用 户 名 ”文本 框 中 输入 上 
得 ”文本 框 中 输入 账户 密码 。 


完成 请 求 拨号 接口 向导 。 


您 经 所 办 相 寺 让 了 请 来 搂 号 接站 问号 ， 


i 


< -sw my 


12-40 


“完成 请 求 拨号 接口 向 导 ” 界 面 


户 名 ， 


单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 12-40 所 示 的 “完成 请 求 拨号 接口 向 导 ” 界 面 ， 单 击 “完成 ” 
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12.3.5 配置 呼叫 路 由 器 


在 双向 初始 化 连接 的 站 点 对 站 点 VPN 连接 中 ， 呼 叫 路 由 器 的 配置 与 应 答 路 由 器 的 配置 完全 相同 。 但 是 
在 配置 请 求 拨号 接口 时 , 应 注意 选择 与 应 答 路 由 器 端 完全 相同 的 VPN 类 型 .推荐 两 端 均 设置 为 “自动 选择 ”， 
如 图 12-41 所 示 。 详 细 配 置 过 程 ， 可 参考 配置 应 答 路 由 器 的 相关 内 容 ， 此 处 不 复 效 述 。 


< 上 -*mn[F-sm 引 ma | 


图 12-41 选择 VPN 类 型 


12.3.6 ”配置 站 点 网 络 基础 结构 


为 确保 站 点 服务 器 能 够 正确 转发 对 端 网 络 到 本 地 网 络 的 访问 ,必须 在 每 台 VPN 路 由 器 上 做 好 如 下 配置 : 
配置 VPN 路 由 器 上 的 路 由 。 
验证 每 台 VPN 路 由 器 的 可 到 达 性 。 
配置 Off-subnet 地 址 池 的 路 由 (可 选 ]。 
为 VPN 路 由 器 配置 IPv6 子 网 前 级 的 路 由 。 

1. 配置 VPN 路 由 器 的 路 由 

为 了 使 VPN 路 由 器 能 够 在 站 点 中 正确 转发 通讯 ， 用 户 必 须 添加 概括 站 点 中 所 使 用 的 IPv4 和 IPv6 地 址 
空间 的 静态 路 由 。 对 于 IPv4， 用 户 可 以 使 用 RIP IPv4 路 由 连接 VPN 服务 器 ， 保 证 VPN 路 由 器 可 以 与 临近 
的 RIP 路 由 器 交换 路 由 ， 并 且 为 站 点 子 网 自动 添加 路 由 到 路 由 表 中 。 详 细 配 置 过 程 ， 可 参考 第 11 章 中 的 相 
关内 容 。 

2. 验证 每 台 VPN 路 由 器 的 可 到 达 性 

使 用 Ping 命令 、Windows Internet 浏览 器 和 建立 驱动 打印 机 连接 来 验证 VPN 路 由 器 是 否 可 以 成 功 与 
内 网 资源 进行 通信 。 

3. 配置 Off-subnet 地 址 池 的 路 由 

如 果 用 户 使 用 IPv4 地 址 池 配 置 VPN 路 由 器 , 而 且 每 个 池 都 是 OfEsubnet, 那么 必须 确保 对 应 0ff-subnet 
地 址 池 的 路 由 存在 于 内 网 IPv4 路 由 基础 结构 中 。 用 户 可 以 添加 对 应 0 任 subnet 地 址 池 的 静态 路 由 到 VPN 


路 由 器 的 临近 路 由 器 中 ， 然 后 通过 内 网 路 由 协议 将 路 由 传播 到 其 他 路 由 器 中 。 当 用 户 添加 静态 路 由 时 ， 必 
须 指定 网 关 或 下 一 跳 的 地 址 是 VPN 路 由 器 的 内 网 接口 。 
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4. 为 VPN 路 由 器 配置 IPv6 子 网 前 缀 的 路 由 


为 了 确保 IPv6 VPN 路 由 器 从 内 网 可 到 达 , 用 户 必 须 为 呼叫 路 由 器 添加 对 应 子 网 前 绥 的 静态 路 由 到 应 答 
路 由 器 临近 的 IPv6 路 由 器 中 ， 然 后 通过 内 网 路 由 协议 传播 路 由 到 其 他 路 由 器 上 。 当 用 户 添加 静态 路 由 时 ， 
必须 指定 网 关 或 下 一 跳 地 址 为 VPN 路 由 器 的 内 网 接口 链接 一 一 本 地 地 址 。 


12.3.7 配置 站 间 网 络 基础 结构 


站 间 网 络 基础 结构 主要 是 指使 用 IP 地 址 空间 的 路 由 ， 设 置 配置 每 台 VPN 路 由 器 。 在 请 求 拨号 接口 向 
导 中 ， 在 “远程 网 络 静 态 路 由 ”界面 ， 用 户 可 以 添加 静态 IPv4 或 IPv6 路 由 到 请 求 拨 号 接口 。 这 些 路 由 包 
含 了 其 他 VPN 路 由 器 站 点 的 IPv4 和 IPv6 地 址 空间 。 如 果 需 要 添加 更 多 路 由 ， 用 户 必须 完成 如 下 工作 : 

”在 每 台 VPN 路 由 器 上 手动 配置 静态 路 由 。 

”在 每 台 VPN 路 由 器 上 执行 自动 静态 更 新 。 

”配置 站 点 对 站 点 VPN 连接 的 路 由 协议 操作 。 


1. 在 每 台 VPN 路 由 器 上 手动 配置 静态 路 由 


用 户 可 以 手动 配置 其 他 IPv4 或 IPv6 静态 路 由 。 以 IPv4 静态 路 由 为 例 , 在 “路 由 和 远程 访问 ”窗口 中 ， 
展开 “IPv4”， 右 击 “ 静 态 路 由 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 静态 路 由 ”命令 ， 显 示 如 图 12-42 所 
示 的 “IPv4 静态 路 由 ”对 话 框 。 选 择 请 求 拨号 接口 ， 然 后 输入 静态 路 由 的 目标 、 网 络 掩 人 码 和 跃 点 数 。 用 户 
也 可 以 选中 “使 用 此 路 由 来 初始 化 请 求 拨号 连接 ” 复 选 框 ,建立 匹配 该 路 由 的 请 求 拨号 连接 。 最 后 单 击 “ 确 
定 ” 按 钮 ， 保 存 配置 。 


.| 提示 : 重复 上 述 操作 可 以 添加 多 条 静态 路 由 。IPv6 静态 路 由 的 设置 与 之 完全 相同 ， 此 处 不 复 玩 述 . 


2. 在 每 台 VPN 路 由 器 上 执行 自动 静态 更 新 
如 果 在 VPN 路 由 器 的 请 求 拨号 接口 启用 了 IPv4 RIP 路 由 协议 ， 则 当 VPN 连接 处 于 连接 状态 时 ， 用 户 
可 以 使 用 自动 静态 更 新 来 自动 配置 IPv4 静态 路 由 。 在 “路 由 和 远程 访问 ”窗口 ， 依 次 展开 “IPv4” 一 “ 常 
规 ” 节 点 ， 检 查 请 求 拨号 接口 的 可 选 状态 区 ， 确 保 其 处 于 连接 状态 。 右 击 请 求 拨 号 接口 并 从 弹出 的 快捷 菜 
单 中 选择 “更 新 路 由 ”命令 即 可 ， 如 图 12-43 所 示 。 


和 0) 括 作 册 间 着 中 大 支 加 


TJ EI Es 


图 12-42 “IPv4 静态 路 由 ”对 话 框 图 12-43 ”自动 静态 更 新 路 由 
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用 户 也 可 以 运行 命令 Netsh 来 执行 自动 静态 更 新 ， 或 者 通过 混合 使 用 Netsh 脚本 和 任务 调度 器 来 自动 
执行 更 新 。 为 了 使 用 RIP 为 特定 请 求 拨号 接口 自动 执行 静态 更 新 ， 运 行 如 下 命令 : 
netsh interface set interface name=DemandDialInterfaceName connect=CONNECTED 


netsh routing ip rip update name=DemandDialInterfaceName 
netsh interface set interface name=DemandDialInterfaceName connect=DISCONNECTED 


例如 ， 为 了 使 用 名 为 CorpHub 的 请 求 拨号 连接 自动 更 新 IP 路 由 ， 输 入 如 下 命令 : 


netsh interface set interface name=CorpHub connect=CONNECTED 
netsh routing ip rip update name=CorpHub 
netsh interface set interface name=CorpHub connect=DISCONNECTED 


用 户 可 以 从 一 批文 件 中 运行 这 些 命 令 ， 或 者 将 它们 放置 在 Netsh 脚本 文件 中 。 例 如 ， 在 脚本 文件 
CorpHub.scp 中 包含 运行 如 下 命令 : 


interface set interface name=CorpHub connect=CONNECTED 
routing ip rip update name=CorpHub 
interface set interface name=CorpHub connect=DISCONNECTED 


为 了 运行 CorpHub.scp 脚本 文件 ， 输 入 如 下 命令 : 

Netsh -f corphub.scp 

在 创建 完 分 批文 件 或 Netsh 脚本 文件 后 ， 用 户 可 以 通过 任务 调度 器 执行 这 些 文件 。 
3. 配置 路 由 协议 


如 果 站 点 对 站 点 VPN 连接 是 持续 的 ， 则 用 户 可 以 在 VPN 路 由 器 的 请 求 拨号 接口 上 配置 IPv4 的 RIP 路 
由 协议 ， 自 动 更 新 每 个 VPN 路 由 器 的 IPv4 路 由 。 
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NAP 英文 全 称 为 Network Access Protection( 网 络 访 
问 保护 ]。 在 Windows Server 2008、Windows Vista 和 
Windows XP SP3 中 ， 提 供 了 新 型 的 NAP 平台 和 NAP 组 
件 , 可 以 使 用 不 同类 型 的 NAP 强制 方法 工作 。 例如 IPSec 
强制 、VPN 强制 等 。 


全 关键 记 
网 络 访问 保护 的 需要 
NAP 的 组 件 
强制 方式 
NAP 工作 方式 
网 络 访问 保护 的 准备 


© 


13.1 网 络 访问 保护 的 需 


为 了 理解 NAP 的 必要 性 ， 首 先 需 要 了 解 一 些 阻止 恶意 软件 传播 的 方法 ,例如 恶意 软件 的 威胁 和 传播 方 
法 、 恶 意 软件 防护 技术 ， 以 及 NAP 如 何 提供 集中 式 的 定义 、 整 合 和 系统 健康 所 需要 的 强制 ， 帮 助 专 有 网 络 
防止 恶意 软件 等 。 


13.1.1 恶意 软件 及 其 对 企业 计算 机 的 影响 


目前 ， 在 计算 机 网 络 中 充满 了 恶意 攻击 者 的 影子 。 很 多 严 意 软件 使 用 与 E-mail、 文 件 传输 、Web 访问 
和 实时 合作 等 相同 的 计算 机 网 络 技术 ， 并 利用 这 些 网 络 应 用 本 身 的 弱点 进行 攻击 。 通 常情 况 下 ， 恶 意 软件 
会 安装 在 不 具备 防护 、 数 据 访问 知识 用 户 的 计算 机 上 ， 用 来 报告 计算 机 的 活动 ， 或 使 用 其 他 计算 机 对 其 进 
行 控制 。 目 前 流行 的 恶意 软件 包括 计算 机 病毒 、 间 谍 软 件 和 广告 软件 等 。 

Internet 是 一 个 特别 容易 受到 攻击 的 环境 ， 一 台 安 全 性 不 高 的 计算 机 可 能 会 在 几 分 钟 之 内 被 地 址 和 端 
口 扫 描 软 件 入 侵 。 家 庭 网 络 同样 也 是 一 个 危险 的 环境 ， 因 为 家 庭 计算 机 不 仅 会 被 地 址 扫描 和 端口 扫描 恶意 
软件 攻击 ， 而 且 通 过 E-mail 附件 、Web 控制 和 免费 软件 中 的 特洛伊 木马 传播 的 恶意 软件 也 会 对 家 庭 计算 机 
进行 攻击 。 而 处 于 局 域 网 内 的 计算 机 ， 则 因为 不 是 直接 连接 到 Internet 上 ， 相 对 比较 安全 。 但 也 只 是 相对 
意义 上 的 安全 ， 在 局 域 网 内 的 计算 机 同样 会 受到 病毒 等 安全 问题 的 影响 ， 并 且 一 旦 受到 攻击 ， 其 损害 程度 
比 家 庭 计算 机 更 为 严重 。 


1. 恶意 软件 如 何 进入 企业 网 络 


通常 企业 网 络 环境 都 不 是 直接 连接 到 Internet 上 的 ， 只 有 部 分 计算 机 直接 连接 到 Internet， 为 客户 或 
商业 伙伴 提供 Internet 服务 。 大 部 分 的 计算 机 和 Internet 之 间 被 防火 墙 和 代理 服务 器 等 边界 系统 隔离 。 所 
以 ， 企 业 网 络 中 的 计算 机 通常 不 会 被 来 自 Internet 的 病毒 扫描 攻击 。 
但 是 ， 对 防火 墙 或 代理 服务 器 提供 的 边界 安全 ， 会 面 对 如 下 问题 : 
和 ”通过 在 计算 机 上 执行 基于 特洛伊 木马 的 病毒 .企业 网 络 中 的 用 户 可 能 在 不 经 意 间 就 从 E-mail、 Web 
页 面 或 Internet 上 下 载 的 其 他 类 型 的 文件 中 感染 了 病毒 。 其 中 ，E-mail 附件 是 传播 特洛伊 木马 病 
毒 最 常见 的 方式 ，Web 页 面 是 另外 一 种 常见 的 方式 。 

于。 移动 和 连接 其 他 网 络 的 移动 计算 机 。 移 动 计算 机 的 典型 代表 是 便携 式 计算 机 ， 即 通常 所 说 的 笔记 
本 电脑 。 用 户 将 便携 式 计算 机 带 到 家 里 、 商 业 旅途 中 或 其 他 具有 无 线 热点 的 公共 场所 中 。 每 次 用 户 
都 可 以 将 便携 式 计算 机 连接 到 非 企 业 网 络 上 ， 此 时 ， 便 携 式 计算 机 都 可 能 受到 网 络 级 病毒 的 攻击 。 

”职员 远程 访问 。 当 职员 使 用 远程 访问 连接 企业 网 络 时 ， 理 论 上 如 同 在 职员 所 在 地 到 企业 网 络 端口 
之 间 有 以 太 网 线路 一 样 。 通 过 逻辑 连接 ， 企 业 网 络 可 能 会 受到 网 络 级 病毒 的 攻击 。 

”来 宾 计算 机 。 当 企业 的 来 宾 ( 如 顾问 、 提 供 商 或 商业 伙伴 ] 使 用 计算 机 连接 企业 网 络 时 ， 他 们 所 使 
用 的 计算 机 之 前 可 能 已 经 受到 网 络 级 病毒 的 攻击 。 


2. 恶意 软件 的 影响 


对 于 Internet 和 专 有 网 络 来 说 ， 恶 意 软 件 可 能 会 带 来 直接 的 经 济 影响 。 例 如 ， 机 密 信 息 的 泄露 、 知 识 
产权 的 丢失 、 带 宽 的 浪费 、 计 算 机 行为 的 不 可 用 ， 以 及 为 了 从 所 有 感染 的 计算 机 上 移 除 恶 意 软件 所 花费 的 
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时 间 等 。 


13.1.2 ”在 企业 网 络 中 防止 恶意 软件 


为 了 防止 基于 恶意 软件 的 传播 ，IT 企业 开始 防止 未 来 病毒 的 感染 ， 从 而 出 现 了 一 系列 的 恶意 软件 防护 
技术 ， 以 及 从 事 该 工作 的 很 多 企业 和 用 户 。 


1. 恶意 软件 防护 技术 


恶意 软件 防护 程序 是 用 来 防止 恶意 软件 安装 和 传播 的 。 恶 意 软件 防护 程序 具有 如 下 形式 。 

里 “杀毒 软件 : 在 文件 复制 或 下 载 时 监视 已 知 的 恶意 软件 .杀毒 软件 通常 使 用 本 地 病毒 库 来 识别 E-mail 
和 文件 中 的 恶意 软件 。 如 果 恶 意 软件 被 检测 到 ， 和 杀毒 软 件 将 会 移 除 杰 意 软 件 或 者 阻止 文件 被 存储 
或 执行 。 因 为 会 不 停 地 有 新 型 的 病毒 被 创建 ， 所 以 杀毒 软件 的 病毒 库 需 要 定期 更 新 。 

里 “垃圾 邮件 过 滤 : 用 来 阻止 不 需要 的 E-mail 消息 存储 到 E-mail 邮箱 的 软件 。 垃 圾 邮件 是 传播 病毒 或 
间谍 软件 常用 的 方式 。 

里。 反 间 谍 软 件 ， 从 计算 机 上 检测 和 移 除 已 知 间谍 软件 和 广告 软件 的 软件 。 如 同 杀毒 软件 一 样 ， 反 和 间 
谍 软 件 必须 定期 更 新 , 使 其 可 以 阻止 最 新 的 间谍 软件 的 安装 。 例如 , Windows Vista 中 的 Windows 
Defender 就 是 一 款 反 间谍 软件 。 

除了 恶意 软件 防护 软件 之 外 ， 采 用 下 列 技术 也 可 以 防止 恶意 软件 。 

时 Windows 计算 机 的 自动 更 新 :对 于 运行 Windows 的 计算 机 ， 一 些 类 型 的 病毒 会 针对 系统 安全 隐 
患 进行 攻击 ， 所 以 安全 更 新 是 很 有 必要 的 。 病 毒 会 尝试 攻击 没有 进行 更 新 的 计算 机 。 为 了 在 病毒 
编写 者 写 出 恶意 软件 并 传播 之 前 进行 自动 安全 更 新 ， 微 软 会 在 发 现 漏洞 的 第 一 时 间 开 发 并 发 布 补 
丁 程序 ， 供 用 户 下 载 和 安装 。 根 据 用 户 制定 的 计划 , 运行 Windows Vista、Windows Server 2008、 
Windows XP 或 Windows Server 2003 的 计算 机 ， 可 以 获取 Windows 更 新 Web 页 面 和 下 载 最 新 
的 安全 更 新 ， 并 自动 进行 安装 。Windows 更 新 降低 了 IT 管理 者 为 了 保持 计算 机 更 新 始终 最 新 的 
负担 。 

于。 基于 主机 的 全 状态 防火 墙 : 基于 主机 的 全 状态 防火 墙 运行 在 计算 机 上 ， 监 视 网 络 通信 的 数据 包 ， 
阻止 计算 机 发 送 或 接收 恶意 通信 。 一 些 病毒 会 通过 扫描 本 地 子 网 可 用 计算 机 来 尝试 自动 复制 ， 然 
后 攻击 找到 的 计算 机 。 如 果 成 功 ， 那 么 病毒 将 会 从 一 台 计 算 机 复制 到 另外 一 台 。 如 果 一 台 受 感染 
的 计算 机 迁移 ， 那 么 病毒 就 开始 攻击 新 的 子 网 中 的 计算 机 。 例 如 ， 当 便携 式 计算 机 在 家 庭 网 络 受 
到 感染 ， 病 毒 将 会 被 携带 到 企业 的 专 有 网 络 。 基 于 主机 的 全 状态 防火 墙 ， 如 Windows Vista、 
Windows Server 2008、Windows XP SP2 和 Windows Server 2003 SP1 或 SP2， 将 会 丢弃 所 有 不 
和 合计 算 机 请 求 回复 的 入 站 通信 ， 或 被 允许 的 主动 提供 的 通信 。 例 如 ， 符 合用 户 或 计算 机 的 Web 
页 面 请 求 的 通信 就 是 请 求 入 站 通信 。 由 于 计算 机 运行 服务 器 服务 而 被 允许 ， 并 且 必 须 接收 主动 提 
供 的 请 求 ， 就 是 例外 通信 的 例子 。 因 为 通常 的 基于 网 络 的 病毒 依靠 主动 提供 的 入 站 通信 来 进行 传 
播 和 攻击 计算 机 ， 启 用 连接 到 Internet 和 内 网 的 计算 机 上 的 基于 主机 的 全 状态 防火 墙 ， 可 以 阻止 
这 种 类 型 病毒 的 传播 。 

为 了 防止 恶意 软件 进入 和 蔓延 到 企业 网 络 中 ， 管 理 员 需 要 确保 如 下 工作 : 

里。 确保 用 户主 机 计算 机 正在 使 用 当前 权限 级 别 的 网 络 服务 和 用 户 账户 。 通 过 降低 用 户 的 权限 级 别 ， 
可 以 有 效 地 阻止 恶意 软件 安装 在 主机 计算 机 上 。 例如， 运行 Windows Vista 的 计算 机 使 用 用 户 账 
户 控 制 (UAC)] 来 降低 被 攻击 的 危险 性 。 
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使 用 恶意 软件 防护 软件 ， 定 期 进行 更 新 。 

启用 自动 更 新 , 当 Windows 升级 包 可 用 时 立即 安装 .企业 网 络 也 可 以 通过 中 央 服 务 器 (如 Windows 
服务 器 更 新 服务 ] 来 配置 更 新 服务 。 

使 用 基于 主机 的 全 状态 防火 墙 ， 如 Windows 防火 墙 ， 来 阻止 网 络 级 病毒 的 入 侵 。 


计算 机 系统 健康 和 监视 


恶意 软件 防护 技术 的 使 用 为 IT 管理 员 带 来 了 新 的 问题 ， 即 确定 和 监视 内 网 中 的 计算 机 系统 健康 。 该 系 
统 健康 由 计算 机 当前 的 配置 状态 定义 ， 包 括 一 系列 的 恶意 软件 防护 技术 ， 及 其 当前 状态 和 其 他 配置 设置 。 
(GD 确定 系统 健康 要 求 

系统 健康 的 定义 会 根据 企业 安装 的 恶意 软件 防护 技术 、 计 算 机 配置 和 其 他 安全 需求 而 改变 。 为 了 设置 
系统 健康 需要 的 参数 ， 管 理 员 需要 注意 如 下 问题 : 


杀毒 软件 

e 在 整个 企业 网 络 的 所 有 计算 机 上 均 安 装 防毒 程序 。 

e ”当前 计算 机 的 防毒 签名 文件 或 其 他 更 新 需要 考虑 健康 问题 。 
垃圾 邮件 过 滤 软 件 

e ”在 整个 企业 网 络 中 安装 垃圾 邮件 过 滤 软 件 。 

e ”当前 计算 机 的 垃圾 邮件 过 滤 更 新 需要 考虑 健康 问题 。 

反 间 谍 软 件 

。 ”在 整个 企业 网 络 安装 反 间 谍 软 件 。 

e ”当前 计算 机 的 反 间 谍 更 新 需要 考虑 健康 问题 。 

操作 系统 自动 更 新 

e 在 整个 企业 网 络 启动 Windows 自动 更 新 。 

e ”对 于 考虑 健康 的 计算 机 启用 自动 更 新 。 

e ”当前 计算 机 安装 的 更 新 需要 考虑 健康 问题 。 

基于 主机 的 全 状态 防火 墙 

e ”在 整个 企业 网 络 启用 基于 主机 的 全 状态 防火 墙 。 

。 ”对 于 考虑 健康 的 计算 机 必须 启用 防火 墙 的 问题 ， 以 及 需要 配置 的 例外 。 
其 他 配置 设置 

e ”根据 企业 安全 策略 需要 其 他 配置 设置 。 

。 ”对 于 考虑 健康 的 计算 机 需要 的 设置 。 


例如 ， 管 理 员 可 以 创建 系统 健康 策略 ， 要 求 所 有 计算 机 必须 满足 如 下 条 件 。 


所 有 操作 系统 更 新 必须 在 指定 日 期 进行 安装 。 
必须 安装 杀毒 软件 ， 并 运行 其 监视 入 站 和 出 站 文件 。 

杀毒 软件 必须 安装 最 新 版 本 的 病毒 库 。 

必须 安装 垃圾 邮件 过 滤 软 件 ， 并 用 其 监视 入 站 的 E-mail 消息 。 
垃圾 邮件 过 滤 软件 必须 安装 最 新 的 更 新 。 

安装 并 启用 基于 主机 的 全 状态 防火 墙 。 

基于 主机 的 防火 墙 必 须 拥 有 一 个 授权 的 排除 列表 。 

计算 机 上 的 TCP/IP 协议 栈 必须 禁用 IP 路 由 。 

计算 机 上 的 TCP/IP 协议 栈 必须 启用 自动 获得 卫 地址 。 


需要 注意 的 是 ， 管 理 员 面 对 的 最 大 问题 不 是 为 系统 健康 设置 要 求 ， 而 是 保证 企业 网 络 中 的 所 有 计算 机 
满足 这 些 要求 ， 以 及 对 不 满足 要 求 的 计算 机 执行 强制 机 制 。 

(2] 强制 系统 健康 要 求 

确定 系统 健康 是 否 满足 企业 网 络 中 计算 机 的 强制 系统 健康 要 求 。 换 句 话说， 如 果 企 业 网 络 中 的 计算 机 
不 满足 系统 健康 的 要 求 ， 就 会 存在 问题 。 例 如 ， 可 以 设置 不 符合 系统 健康 要 求 的 计算 机 禁止 与 网 络 中 的 其 
他 计算 机 进行 通信 。 

尽管 大 部 分 的 恶意 软件 防护 软件 都 拥有 自己 的 保持 更 新 的 机 制 ， 但 却 没 有 系统 健康 要 求 的 强制 机 制 。 
例如 ， 如 果 杀 毒 程 序 没 有 进行 最 近 的 更 新 ， 那 么 对 于 计算 机 和 计算 机 用 户 来 说 就 没有 保障 。 

为 了 确保 系统 健康 可 强制 ， 在 局 域 网 中 必须 拥有 一 台中 央 计 算 机 来 评价 系统 健康 ， 并 且 对 其 使 用 企业 
的 系统 健康 要 求 进行 配置 。 网 络 中 尝试 连接 通信 的 客户 端 计算 机 必须 拥有 自己 的 健康 评估 ， 以 便 可 以 检测 
到 不 符合 的 计算 机 。 中 央 系 统 健康 评估 计算 机 必须 对 不 符合 的 计算 机 采取 措施 。 对 于 不 符合 的 计算 机 采取 
的 常见 措施 是 拒绝 其 连接 网 络 。 但 是 , 这 种 极端 的 措施 不 会 为 不 符合 的 计算 机 提供 更 正 其 配置 状态 的 机 会 。 

与 阻止 所 有 内 网 的 访问 相 比 ， 更 好 的 允许 不 符合 的 计算 机 更 正 状 态 的 解决 方案 ， 是 允许 对 包含 所 需 更 
新 、 软 件 、 脚 本 或 其 他 资源 的 内 网 服务 器 的 子 网 进行 受 限 访问 。 例 如 ， 在 受 限 访问 逻辑 网 络 上 的 服务 器 包 
括 杀 毒 或 软件 更 新 服务 器 。 通 过 使 用 评估 系统 健康 的 中 央 计算 机 上 的 资源 和 基础 结构 ， 不 符合 的 计算 机 可 
以 自动 更 正 其 配置 。 


13.1.3 NAP 的 角色 


Windows Server 2008、Windows Vista 和 Windows XP SP3 中 的 NAP 提供 组 件 和 应 用 程序 接口 (APD 
设置 ， 可 以 帮助 管理 员 强 制服 从 网 络 访问 或 通信 的 健康 要 求 策略 。 使 用 NAP， 开 发 者 和 管理 者 可 以 为 连接 
到 网 络 的 计算 机 创建 解决 方案 ， 提 供 到 健康 更 新 资源 需要 的 更 新 或 访问 ， 以 及 限制 不 符合 的 计算 机 的 访问 
或 通信 。 第 三 方 提供 商 可 以 支持 功能 强大 的 NAP 来 为 强制 健康 策略 创建 常用 的 解决 方案 。 对 于 监视 访问 的 
健康 策略 遵从 性 ， 网 络 计算 机 管理 员 可 以 自 定义 运行 状况 维护 解决 方案 的 开发 和 部 署 ， 自 动 更 新 计算 机 的 
软件 ， 以 满足 健康 策略 要 求 ， 或 限制 不 符合 健康 策略 要 求 的 计算 机 的 访问 。 

使 用 NAP， 基 于 Windows 的 网 络 基础 架构 可 以 完成 如 下 任务 : 

ms ”管理 员 可 以 为 NAP 计算 机 配置 系统 健康 需求 。 

时 “管理 员 可 以 为 启用 NAP 和 未 启用 NAP 的 计算 机 指定 访问 强制 动作 ， 包 括 如 下 方面 。 

。 ”监视 计算 机 的 访问 和 通信 尝试 ， 在 服务 器 日 志 中 记录 访问 尝试 。 
e ”为 不 符合 或 未 启用 NAP 的 计算 机 强制 网 络 访问 约束 。 

”启用 NAP 的 计算 机 可 以 自动 进行 更 新 变 为 符合 ， 并 且 保 持 符 合 性 。 

1. NAP 的 特性 

NAP 具有 如 下 三 个 主要 特性 。 

m 健康 状态 验证 : 当 计算 机 尝试 连接 网 络 时 ， 验 证 计算 机 的 健康 状态 是 否 与 管理 员 指定 的 健康 要 求 
策略 一 致 。 如 果 计 算 机 不 符合 ， 管 理 员 也 可 以 指定 做 法 。 在 只 监视 的 环境 中 ， 所 有 计算 机 都 有 其 
健康 状态 评估 ， 符 合 健康 要 求 策略 的 计算 机 可 以 进行 无 限制 的 访问 ， 不 符合 健康 要 求 策略 的 计算 
机 ， 将 进行 受 限 的 访问 。 

ms 健康 策略 符合 : 管理 员 可 以 通过 配置 自动 更 新 不 符合 的 计算 机 来 保证 健康 要 求 策略 的 符合 性 ， 配 
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置 自动 更 新 可 以 使 用 不 可 见 软件 更 新 或 使 用 独立 的 管理 软件 产品 ， 如 SCCM 2007。 在 只 监视 的 环 
境 中 ， 计 算 机 在 更 新 或 配置 更 改 之 前 将 会 访问 网 络 。 在 受 限 访问 环境 中 ， 不 符合 的 计算 机 在 更 新 
和 配置 更 改 完 成 之 前 只 能 进行 受 限 访问 。 在 这 两 种 环境 中 ， 符 合 NAP 的 计算 机 可 以 自动 变 为 符合 
的 ， 而 且 管理 员 可 以 为 不 符合 NAP 的 计算 机 指定 例外 。 

受 限 访问 : 根据 管理 员 指 定 的 策略 ， 管 理 员 可 以 通过 限制 不 符合 的 计算 机 的 访问 来 保护 网 络 。 管 
理 员 可 以 创建 包含 健康 更 新 资源 和 其 他 服务 器 的 受 限 网 络 ， 不 符合 的 计算 机 只 能 访问 受 限 网 络 。 
管理 员 也 可 以 配置 例外 ， 使 得 不 符合 NAP 的 计算 机 不 受 网 络 访问 的 限制 。 


2. 典型 的 NAP 方案 
NAP 为 如 下 常见 需求 提供 解决 方案 。 


便携 式 计算 机 健康 状态 的 验证 : 轻便 性 和 机 动 性 是 便携 式 计算 机 的 两 个 主要 优势 ， 但 是 这 些 特征 
也 提供 了 健康 威胁 。 当 便携 式 计算 机 离开 公司 时 ， 可 能 无 法 获取 最 新 的 软件 更 新 或 配置 更 改 。 当 
便携 式 计 算 机 暴露 在 无 保护 的 网 络 中 时 就 可 能 感染 病毒 。 通 过 使 用 NAP， 网 络 管理 员 可 以 检查 网 
络 中 任何 一 台 便 携 式 计算 机 的 健康 状态 , 确定 其 是 通过 VPN 连接 公司 网 络 还 是 通过 物理 链 路 连接 
办 公 室 。 

台式 机 健康 状态 的 验证 : 尽管 台式 电脑 通常 不 会 离开 公司 网 络 ， 但 是 仍然 存在 网 络 威胁 。 为 了 降 
低 网 络 威胁 ， 必 须 使 用 最 新 的 更 新 和 软件 来 维护 这 些 计 算 机 ， 和 否则， 这 些 计 算 机 很 有 可 能 会 通过 
Web 站 点 、E-mail、 共 享 文件 和 其 他 公共 访问 资源 感染 病毒 。 通 过 使 用 NAP， 可 以 自动 进行 健康 
状态 的 检查 ， 来 确定 每 台 台 式 机 是 否 符合 健康 要 求 策略 。 管 理 员 可 以 检查 日 志文 件 ， 来 确定 哪 一 
台 计 算 机 不 符合 健康 要 求 策略 。 使 用 其 他 管理 软件 ， 管 理 员 可 以 自动 产生 报告 和 自动 更 新 不 符合 
的 计算 机 。 当 管理 员 更 改 健康 要 求 策略 时 ， 计 算 机 可 以 自动 获取 最 新 的 更 新 。 

访问 便携 式 计算 机 健康 状态 的 验证 ， 企业 有 时 必须 允许 咨询 者 、 商 业 伙伴 和 来 宾 连 接 专 有 网 络 。 
来 宾 带 来 的 便携 式 计算 机 可 能 不 符合 系统 健康 要 求 ， 而 且 可 能 存在 健康 威胁 。 通 过 使 用 NAP， 可 
以 确定 来 访 的 便携 式 计算 机 不 符合 ， 并 只 允许 其 访问 Internet。 管 理 员 通常 不 会 为 来 访 的 便携 式 
计算 机 要 求 或 提供 任何 更 新 或 配置 更 改 。 

不 受 管理 的 家 庭 计算 机 健康 状态 的 验证 : 不 受 管理 的 家 庭 计算 机 不 是 公司 活动 目录 域 的 成 员 ， 可 
以 通过 VPN 连接 可 管理 的 公司 网 络 。 不 受 管理 的 家 庭 计算 机 为 管理 员 提供 了 额外 的 难度 ， 因 为 他 
们 不 能 对 这 些 计 算 机 进行 物理 访问 。 物 理 访问 的 缺乏 使 得 强制 健康 要 求 符合 (如 杀毒 软件 的 使 用 ) 
变 得 更 加 困难 。 但 是 ， 使 用 NAP， 网 路 管理 员 可 以 随时 确定 使 用 VPN 连接 公司 网 络 的 家 庭 计算 机 
的 健康 状态 ， 只 允许 其 访问 受 限 网 络 直至 满足 系统 健康 要 求 。 


3. NAP 的 扩展 性 


NAP 是 一 个 可 扩展 的 平台 ， 为 添加 确认 及 修正 计算 机 健康 状态 和 强制 访问 限制 的 组 件 提供 基础 结构 和 
一 系列 的 API。 


4. NAP 的 局 限 性 


NAP 不 是 为 了 保护 网 络 不 受 恶 意 用 户 攻 击 而 设计 的 ， 而 是 为 了 帮助 管理 员 自动 维护 网 络 中 计算 机 的 健 
康 而 设计 的 ， 同 时 也 维护 了 网 络 的 完整 性 。 例 如 ， 如 果 计 算 机 拥有 健康 策略 所 需要 的 所 有 软件 和 配置 ， 那 
么 计算 机 符合 并 且 被 允许 适当 地 访问 网 络 。NAP 不 会 阻止 授权 用 户 使 用 符合 的 计算 机 上 传 恶意 程序 或 参与 
其 他 不 适当 的 行为 。 


13.1.4 NAP 的 应 用 环境 


网 络 内 部 安全 已 经 成 为 网 络 安全 的 重点 。 用 户 水 平 参差 不 齐 ， 使 用 习惯 各 不 相同 。 例 如 ， 如 果 网 络 中 
有 没有 安装 软件 更 新 或 者 防 病毒 软件 的 客户 端 ， 则 很 可 能 导致 整个 网 络 遭 受 攻击 。NAP 就 可 以 很 好 地 解决 
这 一 难题 ， 通 常情 况 下 ， 它 可 以 应 用 于 如 下 保护 环境 。 

1. 保护 漫游 计算 机 的 健康 

网 络 中 应 用 笔记 本 移动 办 公 的 用 户 越 来 越 广泛 ， 例 如 ， 需 要 经 常 携带 笔记 本 计算 机 出 差 的 用 户 ， 笔 记 
本 计算 机 需要 经 常 连接 不 安全 的 外 部 网 络 。 如 果 没有 安装 更 新 补丁 ， 没 有 更 新 病毒 库 ， 或 者 已 经 感染 病毒 ， 
一 旦 连接 到 公司 网 络 ， 就 要 进行 安全 检查 。 

2. 保护 桌面 计算 机 的 健康 

网 络 中 相对 比较 固定 的 工作 站 ， 虽 然 可 以 受到 网 络 防火 墙 的 保护 和 安全 策略 限制 ， 但 是 由 于 经 常 接 入 
Internet、 连 接 移动 设备 、 收 发 电子 邮件 等 ， 也 可 能 存在 一 定 的 安全 隐患 ， 有 必要 接受 补 本 包 获得 更 新 ， 并 
更 新 病毒 库 。 

3. 保护 来 访 用 户 计 算 机 的 健康 

有 时 候 来 访 用 户 的 计算 机 需要 连接 到 内 部 网 络 , 但 是 ， 很 难保 证 这 些 计 算 机 符合 网 络 内 部 的 安全 策略 
如 果 强 行 接 入 网 络 ， 则 可 能 存在 安全 威胁 。 此 时 ， 可 以 通过 网 络 访问 保护 功能 在 技术 层面 进行 访问 限制 。 
当 客户 计算 机 连 入 内 部 网 络 之 后 ，NAP 可 以 将 客户 计算 机 重 定 向 到 一 个 隔离 的 网 段 ， 会 自动 连接 到 修正 服 
务 器 ， 对 客户 计算 机 实施 制定 的 安全 策略 ， 例 如 进行 自动 更 新 、 修 复 漏洞 等 。 在 修复 安全 之 后 ， 客 户 计算 
机 可 以 自动 连接 到 内 部 网 络 。 以 上 操作 自动 完成 ， 不 耽误 业务 的 进展 。 

4. 保护 家 庭 计算 机 的 健康 

网 络 中 的 用 户 有 时 候 会 将 工作 带 到 家 中 处 理 ， 需 要 通过 VPN 等 方式 将 家 中 的 计算 机 连接 到 公司 内 部 网 
络 访问 资源 ， 此 时 家 中 的 计算 机 就 有 可 能 对 公司 内 部 网 络 造成 安全 威胁 。 使 用 NAP 功能 可 以 设置 检查 家 庭 
计算 机 ， 可 以 将 接 入 的 家 庭 计算 机 限制 到 隔离 网 段 ， 进 行 健康 修复 ， 直 到 安全 为 止 。 


13.1.5 ”NAP 的 商业 价值 


对 于 企 事业 单位 来 说 ，NAP 具有 非常 高 的 商业 价值 ， 具 体 包 括 如 下 内 容 。 
a ”通过 集中 配置 和 连接 或 通信 的 系统 需求 降低 了 所 有 权 的 总 花费 : NAP 提供 集中 配置 点 来 指定 如 下 
方面 。 
。 网络 中 连接 或 通信 的 计算 机 的 系统 健康 需求 ， 包 括 恶 意 软件 防护 、 软 件 设置 或 系统 配置 。 
。 ”为 不 满足 要 求 的 计算 机 强制 动作 。 强 制 动 作 可 以 是 被 动 的 ， 允 许 不 受 限制 的 访问 但 是 记录 每 
次 连接 或 通信 尝试 : 或 者 是 主动 的 ， 限 制 不 符合 的 计算 机 的 访问 。 


提示 : 在 评价 客户 端 系统 设置 的 服务 器 上 ， 系 统 要 求 和 强制 动作 都 是 以 健康 要 求 策 略 的 形式 进行 集中 配 
置 的 。 


”通过 自动 系统 健康 或 配置 修正 来 降低 所 有 权 的 总 花费 : 启动 NAP 的 计算 机 将 会 为 恶意 防护 软件 自 
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动 安装 更 新 ， 并 且 使 必需 的 配置 优先 于 授权 不 受 限制 的 网 络 访问 。 尽 管 大 部 分 恶意 防护 软件 定期 
检查 更 新 进行 安装 ， 但 是 NAP 还 要 求 网 络 连 通 性 的 更 新 。 当 启用 NAP 的 计算 机 符合 系统 健康 策 
略 时 ，NAP 组 件 将 会 自动 执行 更 新 来 保证 运行 符合 性 。 

降低 被 恶意 软件 感染 的 几率 : 因为 NAP 平台 可 以 强制 系统 健康 要 求 ， 启 用 NAP 的 计算 机 可 以 进 
行 更 新 并 阻止 已 知 的 恶意 软件 的 攻击 .适当 的 配置 启用 NAP 的 网 络 可 以 降低 恶意 软件 感染 的 几率 。 
现 有 系统 健康 和 配置 要 求 基础 结构 的 使 用 :NAP 无 法 取代 现 有 系统 健康 和 配置 基础 结构 。NAP 通 
过 设置 共同 目标 和 强制 系统 健康 要 求 ， 来 为 现 有 系统 健康 和 配置 组 件 增加 价值 。 很 多 系统 配置 、 
恶意 软件 防护 和 网 络 安全 基础 结构 提供 商都 支持 NAP。 


13.2 NAP 的 组 件 


图 13-1 显示 了 启用 NAP 的 网 络 基础 结构 的 组 件 。 启 用 NAP 的 网 络 基础 结构 的 组 件 主要 包含 如 下 内 容 。 


NAP 客户 端 : 支持 NAP 的 计算 机 包括 Windows Server 2008、Windows Vista 或 Windows XP SP3 

的 计算 机 。 

NAP 强制 点 : 使 用 NAP 或 可 以 使 用 NAP 的 计算 机 与 网 络 设备 要 求 NAP 客户 端的 健康 状态 评估 ， 

并 提供 受 限 的 网 络 访问 或 通信 。NAP 强制 点 使 用 网 络 策略 服务 器 (NPS) 作 为 NAP 健康 策略 服务 器 

来 评估 客户 端的 健康 状态 信息 ， 网 络 访问 或 通信 和 是否 被 允许 ， 以 及 对 不 符合 的 NAP 客户 端 必须 执 

行 的 修正 动作 的 设置 。NAP 强制 点 的 例子 如 下 。 

e ”健康 注册 机 构 (HRA): 运行 Windows Server 2008 和 Internet 信息 服务 (IIS) 的 计算 机 ,对 于 符 
合 的 NAP 客户 端 都 具有 证 书 售 发 机 构 (CA) 颁 发 的 健康 证 书 。 

e ”网 络 访问 设备 ， 以 太 网 交换 机 或 支持 IEEE 802.1X 身份 验证 的 无 线 访问 点 (AP)。 

e@ ”VPN 服务器: 运行 Windows Server 2008 的 计算 机 ， 以 及 允许 远程 访问 VPN 连接 内 网 的 路 由 
和 远程 访问 。 

e。 DHCP 服务 器 : 运行 Windows Server 2008 的 计算 机 ， 以 及 提供 动态 IPv4 地 址 配置 的 DHCP 
服务 器 服务 。 

NAP 健康 策略 服务 器 : 运行 Windows Server 2008 的 计算 机 ， 以 及 存储 健康 要 求 策略 和 提供 健康 

状态 验证 的 NPS 服务 。NPS 代替 了 Internet 身份 验证 服务 .RADIUS 服务 器 和 Windows Server 2003 

提供 的 代理 。NPS 也 可 以 作为 网 络 访问 的 身份 验证 、 授 权 和 记 账 (AAA) 服 务 器 。 当 作为 AAA 服务 

器 或 NAP 健康 策略 服务 器 时 , NPS 通常 为 网 络 访问 和 健康 要 求 策略 的 集中 配置 使 用 单独 的 服务 器 。 

NPS 服务 也 可 以 运行 在 基于 Windows Server 2008 的 NAP 强制 点 上 ， 如 HRA 或 DHCP 服务 器 。 

但 在 这 些 配 置 中 ，NPS 服务 是 用 于 RADIUS 代理 与 NAP 健康 策略 服务 器 交换 RADIUS 消息 的 。 

健康 要 求 服务 器 : 为 NAP 健康 策略 服务 器 提供 当前 系统 健康 状态 的 计算 机 。 例 如 ， 使 用 杀毒 程序 

的 健康 要 求 服务 器 需要 追踪 最 新 版 本 的 病毒 库 文 件 。 

活动 目录 域 服务 : 存储 账户 证 书 和 属性 ， 以 及 组 策略 设置 的 Windows 目录 服务 。 虽 然 不 需要 健康 

状态 验证 ， 但 是 活动 目录 需要 IPSec 保护 通信 、802.1X 验证 连接 ， 以 及 远程 访问 VPN 连接 。 

受 限 网 络 : 一 个 单独 的 逻辑 或 物理 网 络 包含 如 下 部 分 。 

e ”修正 服务 器 网络 基础 结构 服务 器 和 NAP 用 来 修正 不 符合 状态 的 健康 更 新 服务 器 。 例 如 ， 网 
络 基础 结构 服务 器 包括 DNS 服务 器 和 活动 目录 域 控制 器 。 健 康 更 新 服务 器 包括 病毒 库 服务 器 
和 软件 更 新 服务 器 。 


第 与 章 网 络 访问 保护 概述 


e ”访问 受 限 的 NAP 客户 端 : 对 于 不 满足 健康 要 求 策略 的 计算 机 将 会 被 放置 在 受 限 网 络 中 。 
。 不 支持 NAP 的 计算 机 : 不 支持 NAP 的 计算 机 将 会 被 放置 在 受 限 网 络 中 。 


图 13-1 启用 NAP 的 网 络 基础 结构 的 组 件 


13.2.1 系统 健康 代理 和 系统 健康 验证 


NAP 基础 结构 组 件 在 NAP 客户 端 中 也 称 作 系统 健康 代理 (SHA), 在 NAP 健康 策略 服务 器 中 称 作 系 统 健 
康 验 证 (SHV) ,为 系统 健康 属性 提供 健康 状态 跟踪 和 验证 .Windows Vista 和 Windows XP SP3 包含 Windows 
安全 健康 验证 SHV, 用 来 监视 Windows 安全 中 心 的 设置 .在 Windows Server 2008 中 ,包含 相应 的 Windows 
安全 健康 验证 SHV，NAP 具有 灵活 性 和 可 扩展 性 。 

SHA 创建 一 个 健康 声明 (SoH)， 其 中 包含 当前 监视 的 健康 状态 信息 。 例 如 ， 对 于 属性 程序 的 SHA 可 能 
包含 程序 的 状态 (安装 或 运行 )， 以 及 当前 反 病毒 签名 文件 的 版 本 。 只 要 SHA 升级 其 状态 ， 就 会 创建 一 个 新 
的 SoH。 为 了 显示 全 部 的 健康 状态 ，NAP 客户 端 使 用 系统 健康 声明 (SSoH)， 包 括 NAP 客户 端的 版 本 信息 和 
SHA 的 SoH 的 设置 。 

当 NAP 客户 端 验证 自己 的 系统 健康 时 , 为 了 通过 NAP 强制 点 评价 , NAP 客户 端 会 将 SSoH 传递 给 NAP 
健康 策略 服务 器 。NAP 健康 策略 服务 器 使 用 SSoH 和 健康 要 求 策略 来 确定 NAP 客户 端 是 否 符合 系统 健康 要 
求 ， 如 果 不 符合 ， 那 么 将 会 进行 修正 使 其 变 为 符合 。 每 个 SHV 都 会 产生 一 个 健康 声明 响应 (SoHR)， 其 中 包 
含 修正 说 明 。 例 如 ， 对 于 反 病 毒 程序 的 SoHR 包含 当前 反 病 毒 签名 文件 的 版 本 号 和 反 病 毒 签 名 文件 服务 器 
的 名 称 或 IP 地 址 。 

根据 来 自 SHV 的 SoHR 和 配置 的 健康 要 求 策略 ，NAP 健康 策略 服务 器 创建 一 个 健康 响应 系统 声明 
(SSoOHR)， 显 示 NAP 客户 端 是 否 符合 ， 以 及 是 否 包含 来 自 SHV 的 一 系列 SoHR。NAP 健康 策略 服务 器 通过 
NAP 强制 点 将 SSoHR 传递 给 NAP 客户 端 。NAP 客户 端 将 SoHR 传递 给 SHA。 不 符合 的 SHA 自动 修正 其 健 
康 状态 ， 并 创建 更 新 SoH， 然 后 健康 验证 进程 将 会 再 次 启动 。 
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13.2.2 ”强制 客户 端 和 服务 器 


NAP 强制 客户 端 (EC 是 NAP 客户 端的 组 成 部 分 ， 该 NAP 客户 端 请 求 访问 网 络 ， 将 计算 机 健康 状态 传 
送 到 NAP 强制 点 ， 并 且 为 NAP 客户 端 基础 结构 中 的 其 他 部 分 提供 健康 评估 信息 。NAP 平台 的 NAP EC 在 
Windows Vista、Windows XP SP3 和 Windows Server 2008 中 的 应 用 如 下 : 

和 ”提供 IPSec 保护 通信 的 IPSec EC。 

”提供 802.1X 身份 验证 连接 的 EAPHost EC。 

和 ”提供 远程 访问 VPN 连接 的 VPN EC。 

”提供 基于 DHCP IPv4 地 址 配置 的 DHCP EC。 

”提供 到 TS 网 关 服 务 器 的 TS 网 关 EC。 

NAP 强制 服务 器 (ES) 是 运行 Windows Server 2008 的 NAP 强制 点 的 一 部 分 ， 可 以 通过 NAP 客户 端 健 
康 状 态 到 达 NPS 进行 评估 , 并 且 根据 NPS 的 响应 , 可 以 提供 受 限 网 络 访问 的 强制 .在 Windows Server 2008 
中 的 NAP ES 包含 如 下 几 类 : 

于 “提供 IPSec 保护 通信 的 IPSec ES 。 

se ”提供 基于 DHCP IPv4 地 址 配置 的 DHCP ES。 

和 ”提供 到 TS 网 关 服务 器 的 TS 网 关 ES。 

对 于 802.1X 身份 验证 和 远程 访问 VPN 连接 , 在 802.1X 交换 机 或 无 线 AP 或 VPN 服务 器 上 都 没有 独立 
的 ES 组 件 。 

对 于 特定 类 型 的 网 络 访问 或 通信 ， 不 符合 的 计算 机 的 EC 和 ES 都 需要 健康 状态 验证 和 强制 受 限 网 络 
访问 。 


13.2.3 NPS 


NPS 在 Windows Server 2008 中 是 RADIUS 服务 器 和 代理 。 作 为 RADIUS 服务 器 ，NPS 为 各 种 类 型 的 
网 络 访问 提供 AAA 服务 。 对 于 身份 验证 和 授权 ，NPS 使 用 活动 目录 来 检验 用 户 或 计算 机 的 证 书 ， 并 且 当 计 
算 机 尝试 802.1X 身份 验证 连接 或 VPN 连接 时 ， 获 取 用 户 或 计算 机 的 账户 属性 。 

NPS 也 可 作为 NAP 健康 策略 服务 器 ， 管 理 员 可 以 在 NAP 健康 策略 服务 器 的 健康 要 求 策略 中 设置 系统 
健康 要 求 。NAP 健康 策略 服务 器 评价 NAP 客户 端 提供 的 健康 状态 信息 来 确定 健康 符合 性 ， 并 且 对 于 不 符合 
的 ， 修 正 设置 可 以 使 得 NAP 客户 端 变 为 符合 的 。 
作为 AAA 服务 器 的 NPS 角色 是 独立 于 NAP 健康 策略 服务 器 的 角色 的 ， 这 些 角 色 根 据 需要 可 以 单独 使 
也 可 以 联合 使 用 。 例 如 下 面 几 种 情况 : 

”在 没有 配置 NAP 的 内 网 中 ，NPS 可 以 是 AAA 服务 器 。 
ma ”在 配置 了 802.1X 身份 验证 连接 NAP 的 网 络 中 ，NPS 可 以 联合 AAA 服务 器 和 健康 策略 服务 器 。 
”在 配置 了 DHCP 设置 的 NAP 的 内 网 中 ，NPS 可 以 是 健康 策略 服务 器 。 


用 


13.2.4 网 络 访问 保护 策略 的 模式 


在 实际 应 用 中 ， 可 以 根据 需要 选择 合适 的 策略 模式 ， 决 定安 全 策略 如 何以 策略 中 的 配置 文件 评估 客户 


[468 1 


端 、 制 作 NAC Manager 中 的 通报 信息 ， 并 判定 是 否 向 用 户 发 送信 息 、 进 行 校正 或 采取 强制 执行 策略 等 。 网 
络 访问 保护 策略 的 模式 包括 如 下 三 种 。 
里 ”Report Only( 仅 报告 ]: 在 该 模式 下 , 安全 策略 会 以 配置 文件 对 客户 端 进行 评估 , 而 在 NAC Manager 
内 会 制作 报告 信息 ， 但 在 客户 端点 上 不 会 显示 任何 信息 ， 并 进行 校正 动作 ， 并 且 强 制 执行 动作 也 
不 会 执行 。 
和 Remediate (校正 ): 在 该 模式 下 ， 安 全 策略 会 以 配置 文件 对 客户 端 进行 评估 ， 而 在 NAC Manager 
内 会 制作 报告 信息 ， 并 在 客户 端 上 显示 信息 ， 并 执行 校正 动作 ， 而 存 取样 本 也 会 依 适 当 的 存 取 或 
策略 状态 而 套用 。 
和 Enforce (强制 执行 ): 在 该 模式 下 ， 安 全 策略 会 以 配置 文件 对 客户 端 进行 评估 ， 而 在 NAC Manager 
内 会 制作 报告 信息 ， 并 在 客户 端 上 显示 信息 ， 并 执行 校正 动作 ， 而 存 取样 本 也 会 依 适当 的 存 取 或 
策略 状态 而 套用 。 


13.3 强制 方式 


Windows Vista、Windows XP SP3 和 Windows Server 2008 中 的 NAP 支持 如 下 类 型 的 网 络 访问 和 通信 : 
IPSec 保护 通讯 
IEEE 802.1X 身份 验证 的 网 络 连 接 
远程 访问 VPN 连接 
DHCP 地 址 配置 

Windows Server 2008 和 Windows Vista 还 包含 支持 连接 到 TS 网 关 服 务 器 的 NAP。 管理 员 可 以 使 用 这 
些 类 型 的 网 络 访问 或 通信 ， 也 称 作 NAP 强制 方式 ， 独 立 或 共同 限制 不 符合 计算 机 的 访问 或 通信 。 


13.3.1 IPSec 强制 


使 用 IPSec 强制 ， 计 算 机 必须 符合 使 用 内 网 中 服务 器 隔离 或 域 隔离 的 其 他 符合 计算 机 初始 化 的 通信 ， 
这 就 要 求 入 站 通信 受到 IPSec 的 保护 。 因为 IPSec 强制 利用 IPSec, 用 户 可 以 为 受 保护 的 通信 在 每 个 IP 或 每 
个 TCP/UDP 端口 号 上 指定 要 求 。IPSec 强制 在 成 功 连接 和 获取 有 效 IP 地 址 配置 后 , 为 符合 的 计算 机 限制 通 
信 。IPSec 强制 是 NAP 中 限制 网 络 访问 或 通信 的 最 强 形式 之 一 。 

IPSec 组 件 包括 运 行 于 Windows Server 2008 的 HRA 上 的 IPSec ES 和 Windows Vista Windows XP SP3 
和 Windows Server 2008 上 的 IPSecEC。 当 NAP 客户 端 证 明 符 合 要 求 时 ，HRA 包含 基于 X.509 健康 证 书 。 
当 NAP 客户 端 使 用 其 他 符合 的 NAP 客户 端 初始 化 IPSec 保护 的 通信 时 , 这 些 健 康 证 书 需要 与 IPSec 策略 设 
置 一 同 来 验证 NAP 客户 端 。 


13.3.2”802.1X 强制 

使 用 802.1X 强制 ， 计 算 机 必须 可 以 通过 802.1X 身份 验证 的 网 络 连 接 来 获取 不 受 限 的 网 络 访问 ， 网 络 
连接 包括 认证 的 以 太 网 交换 机 或 [EEE 802.1X 无 线 AP。 对 于 不 符合 的 计算 机 , 通过 以 太 网 交换 机 或 无 线 AP 
中 的 受 限 访问 配置 文件 来 限制 网 络 访问 。 受 限 访问 配置 文件 可 以 指定 访问 控制 列表 (ACL)， 必须 符合 以 太 网 
交换 机 或 无 线 AP 上 配置 的 IP 数据 包 过 滤器 的 设置 , 或 者 符合 受 限 网 络 VLAN ID。 使 用 802.1X 强制 ， 健 康 
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策略 要 求 在 每 次 计算 机 尝试 802.1X 身份 验证 网 络 连接 时 都 要 进行 强制 .802.1X 强制 也 可 以 监视 连接 的 NAP 
客户 端的 健康 状态 ， 以 及 当 客 户 端 变 为 不 符合 时 应 用 受 限 访问 配置 文件 到 连接 上 。 

802.1X 强制 组 件 包括 Windows Server 2008 中 的 NPS 和 Windows Vista、Windows XP SP3 和 Windows 
Server 2008 上 的 EAPHost EC。802.1X 为 所 有 通过 802.1X 身份 验证 连接 访问 网 络 的 计算 机 提供 受 限 的 网 络 
访问 。 


13.3.3 ”VPN 强制 


使 用 VPN 强制 ， 计 算 机 必须 可 以 通过 远程 访问 VPN 连接 获取 不 受 限 的 网 络 访问 。 对 于 符合 的 计算 机 ， 
通过 VPN 服务 器 应 用 在 VPN 连接 上 的 IP 数据 包 过 滤器 的 设置 来 限制 网 络 访问 。 使 用 VPN 强制 ， 健 康 策略 
要 求 在 每 次 计算 机 尝试 获取 远程 访问 VPN 连接 时 ， 都 要 进行 强制 。VPN 强制 也 可 以 监视 连接 的 NAP 客户 
端的 健康 状态 ， 以 及 当 客 户 端 变 为 不 符合 时 ， 为 到 VPN 连接 的 受 限 网 络 访问 应 用 IP 数据 包 过 滤器 。 

VPN 强制 组 件 包括 Windows Server 2008 中 的 NPS 和 Windows Vista、Windows XP SP3 和 Windows 
Server 2008 远程 访问 客户 端 上 的 VPN EC。VPN 强制 为 所 有 通过 远程 访问 VPN 连接 访问 网 络 的 计算 机 提供 
受 限 的 网 络 访问 。 


13.3.4 ”DHCP 强制 


使 用 DHCP 强制 ， 计算机 必须 可 以 从 DHCP 服务 器 上 ， 获 取 受 限 网 络 访问 的 IPv4 地 址 配置 。 对 于 不 符 
合 的 计算 机 ， 网 络 访问 受到 IPv4 地 址 配置 的 限制 ， 该 配置 只 允许 到 受 限 网 络 的 访问 。 使 用 DHCP 强制 ， 健 
康 策略 要 求 在 每 次 DHCP 客户 端 尝试 租借 或 续 借 IPv4 地 址 配置 时 都 要 进行 强制 。DHCP 强制 也 可 以 监视 连 
接 的 NAP 客户 端的 健康 状态 ， 以 及 当 客 户 端 变 为 不 符合 时 ， 只 允许 访问 受 限 网 络 续 借 IPv4 地 址 配置 。 

DHCP 强制 组 件 包括 Windows Server 2008 DHCP 服务 器 中 的 DHCP ES 和 Windows Vista、Windows XP 
SP3 和 Windows Server 2008 DHCP 客户 端 中 的 DHCP EC。 因 为 DHCP 强制 依赖 于 受 限 IPv4 地 址 配置 ， 可 
以 被 管理 员 任 意 修改 ， 所 以 该 强制 是 NAP 中 受 限 网 络 访问 中 较 弱 的 形式 。 


13.4 NAP 工作 方式 


管理 员 可 以 配置 NAP 使 其 满足 网 络 的 需要 ， 所 以 ， 实 际 中 的 NAP 配置 是 根据 管理 员 的 要 求 不 断 变化 
的 。 但 NAP 基本 的 操作 大 致 是 相同 的 ， 图 13-1 所 示 的 内 网 的 配置 如 下 : 
”健康 状态 验证 、 健 康 策略 符合 性 ， 以 及 对 不 符合 的 NAP 客户 端的 受 限 网 络 访问 。 
里。 IPSec 强制 、802.1X 强制 、VPN 强制 和 DHCP 强制 。 
当 获取 健康 证 书 时 ， 使 用 802.1X 身份 验证 或 VPN 连接 到 内 网 ， 或 者 从 DHCP 服务 器 租借 或 续 借 IPv4 
地 址 配置 ， 每 个 NAP 客户 端 必须 符合 如 下 类 别 之 一 : 
”满足 健康 策略 要 求 的 NAP 客户 端 归 为 符合 类 ， 并 且 人 允许 不 受 限 访问 内 网 。 
”不 满足 健康 策略 要 求 的 NAP 客户 端 归 为 不 符合 类 ， 只 能 访问 受 限 网 络 直至 满足 要 求 为 止 。 不 符合 
的 NAP 客户 端 不 能 对 内 网 产生 病毒 或 其 他 类 型 的 威胁 , 但 是 也 不 能 获取 软件 更 新 或 健康 策略 要 求 
的 配置 。 不 符合 的 NAP 客户 端 处 于 高 度 危险 之 中 ， 并 将 危险 传递 到 内 网 。NAP 客户 端 上 的 SHA 
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可 以 自动 更 新 计算 机 软件 或 不 受 限 访问 要 求 的 设置 。 自 动 修正 保证 不 符合 的 NAP 客户 端 ， 获 取 必 
要 的 更 新 和 尽快 地 授权 不 受 限 访问 。 
图 13-1 所 示 的 内 网 包括 受 限 网 络 ， 可 以 是 逻辑 创建 或 物理 创建 的 。 例 如 ， 卫 过滤 器、 静态 路 由 、ACL 
或 VLAN 标识 都 可 以 置 于 NAP 客户 端 中 ， 用 来 指定 可 以 连接 的 修正 服务 器 。 在 大 部 分 局 域 网 中 ， 都 会 包含 
计算 机 和 设备 的 不 同 组 合 ， 需 要 从 健康 策略 要 求 中 免除 部 分 计算 机 或 设备 。 例 如 ， 运 行 Windows Server 
2003、Windows 2000 或 更 老 版 本 的 Windows 的 计算 机 ， 这 些 操作 系统 根本 不 支持 NAP, 为 了 防止 这 些 计 
算 机 的 受 限 访 问 ， 可 以 有 选择 地 配置 健康 要 求 策略 ， 为 不 支持 NAP 的 计算 机 授权 不 受 限 访问 。 理 论 上 , 用 
户 应 该 升级 或 更 新 不 支持 NAP 的 计算 机 ， 使 其 支持 NAP， 保 证 所 有 计算 机 都 可 以 进行 系统 健康 评价 。 


13.4.1 IPSec 强制 的 工作 方式 


在 如 图 13-1 所 示 的 企业 网 的 NAP 客户 端 上 ， 执 行 IPSec 强制 的 步骤 如 下 。 

IPSec EC 组 件 发 送 SSoH 到 HRA， 说 明 自 己 当前 的 健康 状态 。 

HRA 发 送 NAP 客户 端的 SSoH 到 NAP 健康 策略 服务 器 。 

如 果 NAP 客户 端 不 符合 ，SSoHR 包含 健康 修正 指示 。 

如 果 健 康 状态 符合 ，HRA 获取 NAP 客户 端的 健康 证 书 。 根 据 管理 员 配置 的 IPSec 策略 设置 ，NAP 
客户 端 可 以 与 其 他 符合 的 计算 机 进行 IPSec 保护 的 通信 ， 使 用 健康 证 书 进行 IPSec 身份 验证 ， 并 
且 其 他 符合 的 计算 机 会 回应 启动 的 通信 ， 使 用 自己 的 健康 证 书 进行 验证 。 

如 果 健 康 状 态 不 符合 ，HRA 发 送 SSoHR 到 NAP 客户 端 ， 并 且 不 颁发 健康 证 书 。NAP 客户 端 则 不 
能 使 用 其 他 计算 机 要 求 的 健康 证 书 进行 身份 验证 启动 通信 。 但 是 ，NAP 客户 端 可 以 使 用 修正 服务 
器 来 更 正 自己 的 健康 状态 。 

NAP 客户 端 发 送 更 新 请 求 到 适当 的 修正 服务 器 。 

修正 服务 器 为 NAP 客户 端 提供 需要 的 符合 性 更 新 ，NAP 客户 端 更 新 自己 的 SSoH。 

NAP 客户 端 发 送 自己 更 新 后 的 SSoH 到 HRA。 

如 果 所 有 需要 的 更 新 都 已 完成 ，NAP 健康 策略 服务 器 确定 NAP 客户 端 是 符合 的 ， 并 发 送 SSoHR 
到 HRA 指明 其 健康 符合 性 。 

HRA 获取 NAP 客户 端的 健康 证 书 。NAP 客户 端 现 在 即 可 与 其 他 符合 的 计算 机 进行 IPSec 保护 的 通信 。 
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13.4.2 ”802.1X 强制 的 工作 


在 如 图 13-1 所 示 的 企业 网 中 启用 802.1X 认证 连接 的 NAD 客户 端 上 ， 执 行 802.1X 强制 的 步骤 如 下 。 
NAP 客户 端 和 以 太 网 交换 机 或 无 线 AP 启动 802.1X 身份 验证 。 

NAP 客户 端 发 送 用 户 或 计算 机 的 认证 证 书 到 NAP 健康 策略 服务 器 。 

如 果 认 证 证 书 有 效 ，NAP 健康 策略 服务 器 向 NAP 客户 端 发 送 健康 状态 请 求 ， 如 果 认 证 证 书 无 效 ， 
那么 该 连接 将 结束 。 

NAP 客户 端 发 送 自己 的 SSoH 到 NAP 健康 策略 服务 器 。 

NAP 健康 策略 服务 器 评估 NAP 客户 端的 SSoH， 确 定 NAP 客户 端 是 否 符合 ， 并 且 将 结果 发 送 到 
NAP 客户 端 和 以 太 网 交换 机 或 无 线 AP。 如 果 NAP 客户 端 不 符合 ， 结 果 中 包含 以 太 网 交换 机 或 无 
线 AP 的 受 限 访问 配置 文件 ，SSoHR 包括 NAP 客户 端的 健康 修正 指示 。 

如 果 健康 状态 符合 ， 以 太 网 交换 机 或 无 线 AP 完成 802.1X 身份 验证 ，NAP 客户 端 可 以 不 受 限 地 访 
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问 内 网 。 

如 果 健康 状态 不 符合 ， 以 太 网 交换 机 或 无 线 AP 完成 802.1X 身份 验证 ,但 是 通过 ACL 或 VLAN ID 
限制 NAP 客户 端的 访问 。NAP 客户 端 只 可 以 发 送 通讯 到 内 网 中 的 修正 服务 器 。 

NAP 客户 端 发 送 更 新 请 求 到 适当 的 修正 服务 器 。 

修正 服务 器 为 NAP 客户 端 提供 需要 的 符合 性 更 新 。NAP 客户 端 更 新 自己 的 SSoH。 

NAP 客户 端 重新 进行 802.1X 身份 验证 ， 并 发 送 自己 的 更 新 后 的 SSoH 到 NAP 健康 策略 服务 器 。 
如 果 所 有 需要 的 更 新 都 已 完成 , NAP 健康 策略 服务 器 确定 NAP 客户 端 是 符合 的 ， 并 指示 以 太 网 交 
换 机 或 无 线 AP 允许 不 受 限 访问 。 

以 太 网 交换 机 或 无 线 AP 完成 802.1X 身份 验证 ，NAP 客户 端 可 以 不 受 限 地 访问 内 网 。 


13.4.3 ”VPN 强制 的 工作 


在 如 图 13-1 所 示 的 企业 网 中 启用 VPN 连接 的 NAP 客户 端 上 ， 执 行 VPN 强制 的 步骤 如 下 。 
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NAP 客户 端 启动 连接 到 VPN 服务 器 。 

NAP 客户 端 发 送 用 户 认证 证 书 到 VPN 服务 器 。 

如 果 证 书 有 效 ，NAP 健康 策略 服务 器 向 NAP 客户 端 发 送 健 康 状态 请 求 ， 如 果 认 证 证 书 无 效 ， 那 么 
该 VPN 连接 尝试 结束 。 

NAP 客户 端 发 送 自 己 的 SSoH 到 NAP 健康 策略 服务 器 。 

NAP 健康 策略 服务 器 评估 NAP 客户 端的 SSoH， 确 定 NAP 客户 端 是 否 符合 ， 并 且 将 结果 发 送 到 
NAP 客户 端 和 VPN 服务 器 。 如 果 NAP 客户 端 不 符合 , 结果 包含 VPN 服务 器 的 IP 数据 包 过 滤器 的 
设置 ，SSoHR 包括 NAP 客户 端的 健康 修正 指示 。 

如 果 健 康 状态 符合 ，VPN 服务 器 完成 VPN 连接 ，NAP 客户 端 可 以 不 受 限 访问 内 网 。 

如 果 健 康 状态 不 符合 ，VPN 服务 器 完成 VPN 连接 ， 但 是 根据 数据 包 过 滤器 限制 NAP 客户 端的 访 
问 。NAP 客户 端 只 可 以 发 送 通讯 到 内 网 中 的 修正 服务 器 。 

NAP 客户 端 发 送 更 新 请 求 到 适当 的 修正 服务 器 。 

修正 服务 器 为 NAP 客户 端 提供 需要 的 符合 性 更 新 ，NAP 客户 端 更 新 自己 的 SSoH。 

NAP 客户 端 重新 进行 VPN 服务 器 的 身份 验证 , 并 发 送 自己 的 更 新 后 的 SSoH 到 NAP 健康 策略 服务 器 。 
如 果 所 有 需要 的 更 新 都 已 完成 ，NAP 健康 策略 服务 器 确定 NAP 客户 端 是 符合 的 ， 并 指示 VPN 服 
务 器 允许 不 受 限 访问 。 

VPN 服务 器 完成 VPN 连接 ，NAP 客户 端 可 以 不 受 限 地 访问 内 网 。 


13.4.4 ”DHCP 强制 的 工作 
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在 如 图 13-1 所 示 的 企业 网 上 尝试 初始 DHCP 配置 的 NAD 客户 端 上 ， 执 行 DHCP 强制 的 步骤 如 下 。 


© 
© 
@ 


NAP 客户 端 发 送 包 含 SSoH 的 DHCP 请 求 消息 到 DHCP 服务 器 。 

DHCP 服务 器 发 送 NAP 客户 端的 SSoH 到 NAP 健康 策略 服务 器 。 

NAP 健康 策略 服务 器 评估 NAP 客户 端的 SSoH， 确 定 NAP 客户 端 是 否 符合 ， 并 且 将 结果 发 送 到 
DHCP 服务 器 。 如 果 NAP 客户 端 不 符合 ， 结 果 包含 DHCP 服务 器 的 受 限 访问 配置 设置 ，SSoHR 包 
括 NAP 客户 端的 健康 修正 指示 。 

如 果 健 康 状 态 符合 , DHCP 服务 器 为 NAP 客户 端 不 受 限 访问 分 配 IPv4 地 址 , 并且 完成 DHCP 消息 


交换 。 

如 果 健 康 状态 不 符合 ，DHCP 服务 器 为 NAP 客户 端 访 问 受 限 网 络 分 配 IPv4 地 址 ， 并 完成 DHCP 
消息 交换 ， 发 送 SSoHR 到 NAP 客户 端 。NAP 客户 端 只 可 以 发 送 通讯 到 内 网 中 的 修正 服务 器 。 
NAP 客户 端 发 送 更 新 请 求 到 适当 的 修正 服务 器 。 

修正 服务 器 为 NAP 客户 端 提供 需要 的 符合 性 更 新 ，NAP 客户 端 更 新 自己 的 SSoH。 

NAP 客户 端 发 送 包 含 更 新 后 的 SSoH 的 DHCP 请 求 消息 到 DHCP 服务 器 。 

DHCP 服务 器 发 送 NAP 客户 端 更 新 过 的 SSoH 到 NAP 健康 策略 服务 器 。 

如 果 所 有 需要 的 更 新 都 已 完成 , NAP 健康 策略 服务 器 确定 NAP 客户 端 是 符合 的 , 并 指示 DHCP 服 
务 器 为 不 受 限 访问 内 网 的 NAP 客户 端 分 配 IPv4 地 址 。 

DHCP 服务 器 为 NAP 客户 端 不 受 限 访问 分 配 IPv4 地 址 ， 并 且 完 成 DHCP 消息 交换 。 
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13.5 网 络 访问 保护 的 准备 


在 网 络 访问 保护 (NAP) 前 ， 需 要 进行 一 些 准备 工作 ， 包 括 评价 当前 的 网 络 基础 结构 和 配置 独立 于 NAP 
强制 方式 的 NAP 组 件 的 设计 。 在 正式 进行 部 署 前 ， 需 要 用 户 理解 基于 Windows 的 身份 验证 基础 结构 的 活 
动 目录 的 角色 、PKI、 组 策略 和 RADIUS 及 NAP 组 件 与 NAP 强制 方式 等 基本 概念 。 


13.5.1 评价 当前 网 络 基 础 结构 


在 开始 NAP 配置 之 前 ， 需 要 详细 记录 和 评价 当前 网 络 基础 结构 ， 以 保证 其 具有 所 需 的 主机 和 访问 服务 
器 ， 以 及 保证 其 满足 支持 NAP 的 要 求 。 当 前 网 络 基础 结构 的 评价 可 以 分 为 内 网 计算 机 、 附 属 内 网 的 第 2 层 
和 网 络 支持 基础 结构 。 

1. 内 网 计算 机 

内 网 计算 机 可 以 分 为 NAP 客户 端的 候选 对 象 和 不 支持 NAP 的 客户 端 ， 也 可 以 被 分 为 可 管理 和 不 可 管 
理 两 种 。 

(D 可 管理 的 计算 机 

可 管理 的 计算 机 主要 分 为 以 下 两 种 方式 。 

和 ”支持 NAP: 包括 运行 Windows Vista、Windows XP SP3 或 Windows Server 2008 的 计算 机 ， 以 及 

使 用 NAP 客户 端的 其 他 操作 系统 。 

里 “不 支持 NAP: 包括 运行 不 含有 NAP 客户 端的 操作 系统 的 计算 机 。 

802.1X 和 VPN 的 NAP 强制 方式 不 需要 为 健康 评估 管理 计算 机 ， 但 是 身份 验证 和 授权 计算 机 则 需要 被 
管理 。 对 于 IPSec 的 NAP 强制 方式 ， 计 算 机 可 以 不 被 管理 ， 但 推荐 其 接受 管理 。 

(2] 不 可 管理 的 计算 机 

不 可 管理 的 计算 机 可 以 分 为 以 下 两 种 方式 。 

昌 ”支持 NAP: 包括 运行 Windows Vista、Windows XP SP3 或 Windows Server 2008 的 计算 机 ， 以 及 


使 用 NAP 客户 端的 其 他 操作 系统 。 
”不 支持 NAP: 包括 运行 不 含有 NAP 客户 端的 操作 系统 的 计算 机 。 
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2. 附属 内 网 的 第 2 层 


另外 一 种 计算 机 的 分 类 是 通过 附属 内 网 的 第 2 层 方式 。 对 于 有 线 连接 内 网 的 计算 机 ， 对 桌面 用 户 和 服 
务 器 计算 机 ， 最 常用 的 计算 机 分 类 如 下 。 


使 用 IEEE 802.1X 身份 验证 : 使 用 IEEE 802.1X 身份 验证 鉴别 计算 机 交换 端口 的 使 用 。 如 果 用 户 想 
要 使 用 802.1X 强制 方式 ,需要 确保 启用 802.1X 的 计算 机 使 用 基于 PEAP 身份 验证 方式 ,例如 PEAP- 
MS-CHAP v2 或 者 PEAP-TLS。 因 为 系统 健康 信息 是 使 用 PEAP 消息 在 有 线 NAP 客户 端 和 NAP 健 
康 策略 服务 器 上 传输 的 ， 所 以 需要 基于 PEAP 的 身份 验证 方式 。 如 果 启 用 802.1X 的 计算 机 使 用 
EAP-MD5-CHAP, 则 需要 配置 其 使 用 PEAP- MS-CHAP v2; 如 果 启 用 802.1X 的 计算 机 使 用 EAP-TLS， 
则 需要 配置 其 使 用 PEAP-TLS。 

不 使 用 802.1X 身份 验证 : 如 果 用 户 想 要 使 用 802.1X 强制 方式 ， 必 须 使 用 PEAP- MS-CHAP v2 或 
者 PEAP-TLS 身份 验证 方式 配置 802.1X 身份 验证 。 


对 于 使 用 IEEE 802.11 无 线 方式 连接 内 网 的 计算 机 ， 最 常用 的 计算 机 分 类 如 下 。 


使 用 IEEE 802.1X 身份 验证 : 使 用 WPA2- 企 业 或 WPA- 企 业 的 IEEE 802.1X 标准 来 认证 无 线 访问 点 
的 无 线 连接 的 使 用 。 如 果 用 户 想 要 使 用 802.1X 强制 方式 ， 应 确保 使 用 802.1X 的 无 线 客户 端 计算 
机 使 用 基于 PEAP 身份 验证 方式 ， 例 如 PEAP- MS-CHAP v2 或 者 PEAP-TLS。 因 为 系统 健康 信息 是 
使 用 PEAP 消息 在 无 线 NAP 客户 端 和 NAP 健康 策略 服务 器 上 传输 的 , 所 以 需要 基于 PEAP 的 身份 
验证 方式 。 如 果 无 线 客户 端 使 用 EAP-TLS， 则 需要 配置 其 使 用 PEAP-TLS。 

不 使 用 802.1X 身份 验证 : 如 果 用 户 没有 使 用 WPA2- 企 业 或 WPA- 企 业 的 802.1X 身份 验证 ， 立 即 
更 新 无 线 网 络 来 保护 内 网 ， 无 论 是 否 想 使 用 802.1X 强制 方式 。 如 果 用 户 想 要 为 无 线 连接 使 用 
802.1X 强制 方式 ， 那 么 使 用 基于 PEAP- MS-CHAP v2 或 者 PEAP-TLS 身份 验证 方式 的 WPA2- 企 业 
或 WPA- 企 业 。 


对 于 使 用 远程 连接 内 网 的 计算 机 ， 常 用 形式 有 便携 式 计算 机 从 家 庭 中 进行 连接 ， 用 户 可 以 根据 远程 访 
问 连接 是 拨号 或 VPN 连接 进行 分 类 。 由 于 局 域 网 高 速 连接 的 优点 ， 使 其 发 展 迅速 ， 对 于 不 符合 的 计算 机 远 
程 访 问 连接 不 服从 于 NAP 健康 评估 和 受 限 访问 的 强制 。 VPN 强制 方式 不 包含 拨号 远程 访问 连接 。 如 果 用 户 
想 要 确定 所 有 连接 到 内 网 的 第 2 层 连接 是 否 服从 NAP 健康 评估 ， 需 要 淘汰 拨号 远程 访问 连接 。 如 果 不 能 彻 
底 消除 拨号 远程 访问 连接 ， 可 以 尝试 限制 拨号 远程 访问 ， 来 降低 来 自 不 符合 计算 机 对 内 网 的 威胁 。 

如 果 想 要 使 用 VPN 强制 方式 ， 确 保 VPN 客户 端 计算 机 正 使 用 基于 PEAP 身份 验证 方式 ， 例 如 PEAP- 
MS-CHAP v2 或 者 PEAP-TLS。 因 为 系统 健康 信息 是 使 用 PEAP 消息 在 VPN 客户 端 和 NAP 健康 策略 服务 器 
上 传输 的 ， 所 以 需要 基于 PEAP 的 身份 验证 方式 。 


3. 网 络 支持 基础 结构 
网 络 支持 基础 结构 是 一 项 在 局 域 网 启用 网 络 的 服务 ， 具 体内 容 包括 如 下 。 
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DHCP: 如 果 想 要 在 基于 Windows 的 DHCP 服务 器 上 使 用 DHCP 强制 方式 ， 必 须 更 新 DHCP 服务 
器 到 Windows Server 2008 。 

DNS: 根据 如 何 为 不 符合 的 计算 机 执行 受 限 访 问 ， 可 能 需要 其 他 DNS 服务 器 。 

WINS: 根据 如 何 为 不 符合 的 计算 机 执行 受 限 访问 ， 可 能 需要 其 他 WINS 服务 器 。 

活动 目录 : 活动 目录 域 控制 器 不 需要 更 新 到 Windows Server 2008。 但 根据 如 何 执行 受 限 访问 ， 
可 能 需要 其 他 活动 目录 域 控制 器 。 如 果 用 户 的 域 控制 器 运行 的 是 Windows Server 2008， 应 该 为 
不 符合 的 客户 端 使 用 只 读 域 控制 器 (RODC)。RODC 是 Windows Server 2008 中 的 一 种 新 型 的 域 控 


制 器 ， 可 以 配置 于 不 能 保障 物理 安全 的 位 置 。RODC 寄宿 在 活动 目录 数据 库 的 只 读 部 门 。 

”组 策略 :组 策略 对 象 (GPO] 可 用 于 集中 配置 和 传播 NAP 客户 端 设置 到 可 管理 的 计算 机 。 用 户 不 需 
要 使 用 Windows Server 2008 的 域 控制 器 。 如 果 所 有 域 控制 器 运行 的 都 是 Windows Server 2003， 则 
必须 在 运行 Windows Vista 或 Windows Server 2008 的 计算 机 的 GPO 上 配置 NAP 客户 端 策略 设置 。 

”IPSec: 如 果 用 户 想 要 使 用 IPSec 强制 ， 必 须 使 用 连接 安全 规则 的 形式 更 新 IPSec 策略 设置 ， 在 活 
动 目录 GPO 的 IPSec 身份 验证 过 程 中 使 用 健康 证 书 。 借助 于 NAP 客户 端的 设置 , 则 不 需要 使 用 基 
于 Windows Server 2008 的 域 控制 器 。 如 果 所 有 域 控制 器 都 运行 的 是 Windows Server 2003， 则 
必须 在 运行 Windows Vista 或 Windows Server 2008 的 计算 机 的 GPO 上 配置 IPSec 策略 设置 。 

和 ”PKI: 如 果 想 要 使 用 IPSec 强制 ， 则 必须 配置 PKI 或 修改 现 有 的 PKI， 使 其 包含 基于 Windows 的 


健康 证 书 颁发 结构 CA。 
和 ”VPN: 如 果 用 户 想 要 使 用 基于 Windows 的 VPN 服务 器 的 VPN 强制 ， 则 必须 更 新 VPN 服务 器 到 
Windows Server 2008 。 


时 RADIUS: 如 果 用 户 没有 RADIUS 基础 结构 ， 必 须 配置 基于 Windows Server 2008 的 RADIUS 服务 
器 使 用 NAP 强制 方式 中 任意 一 种 。 如 果 用 户 拥有 RADIUS 基础 结构 ， 必 须 更 新 RADIUS 服务 器 到 
Windows Server 2008， 为 NAP 健康 策略 评估 使 用 网 络 策略 服务 器 (NPS)。 


13.5.2 ”相关 服务 组 件 的 安装 


不 同类 型 的 NAP 强制 ， 所 需 的 网 络 组 件 有 所 不 同 ， 不 仅 需要 相应 的 服务 器 角色 ， 还 需要 提供 辅助 验证 
工作 的 组 件 ， 如 证 书 服务 器 、 域 控制 器 等 。 通 常情 况 ， 在 网 络 中 应 用 NAP 强制 之 前 ， 首 先 需要 安装 或 配置 
相应 的 服务 器 角色 ， 然 后 准备 所 需 的 网 络 环境 。 

1. 域 控制 器 

域 控制 器 的 主要 功能 就 是 为 内 网 用 户 和 计算 机 提供 基本 的 身份 认证 。 在 网 络 中 部 署 和 应 用 NAP 强制 之 
前 ， 首 先 应 在 域 中 创建 相应 的 用 户 账户 或 组 ， 例 如 ，NAP 免除 安全 组 、 测 试用 户 组 等 。 

NAP 免除 安全 组 用 于 存储 网 络 中 的 非 NAP 客户 端 ， 如 Windows Server 2003、Windows XP( 非 SP3) 系 
统 用 户 等 。 这 些 用 户 无 法 应 用 各 种 NAP 强制 ， 管 理 员 为 符合 安全 策略 和 不 符合 安全 策略 的 客户 端 设置 访问 
权限 后 ， 必 须 单独 为 这 些 客户 端 指定 是 授权 访问 ， 还 是 限制 访问 。 

测试 用 户 组 则 用 于 存储 广泛 应 用 NAP 强制 之 前 的 测试 工作 。 不 同 的 NAP 强制 分 别 限制 不 同类 型 的 网 
络 访问 。 如 果 由 于 应 用 了 网 络 健康 评估 策略 ， 而 影响 了 正常 的 网 络 应 用 ， 就 得 不 偿 失 了 。 因 此 ， 应 用 NAP 
强制 之 前 必须 在 小 范围 内 进行 测试 。 

2. 证 书 服务 器 

数字 证 书 是 最 常用 的 网 络 安全 保护 手段 之 一 。 在 部 署 NAP 强制 的 网 络 中 ， 证 书 服务 器 的 主要 作用 ， 就 
是 为 网 络 中 的 各 种 服务 器 角色 或 客户 端 颁 发 数字 证 书 ， 实 现 彼此 之 问 的 身份 验证 。 证 书 服 务 器 在 IPSec 强 
制 的 网 络 中 是 必需 的 ， 而 在 其 他 NAP 强制 的 网 络 中 则 是 可 选 的 。 例 如 ， 在 VPN 强制 网 络 中 ， 如 果 用 户 选 
择 了 特定 的 加 密 传输 协议 和 身份 验证 方式 ， 则 可 能 需要 准备 数字 证 书 ， 验 证 VPN 服务 器 和 VPN 客户 端 身 
份 的 有 效 性 。 


3. 网 络 策略 服务 器 
网 络 策略 服务 器 (NPS) 是 任何 NAP 强制 都 必需 的 , 提供 各 种 安全 健康 评估 、 记 账 等 功能 , 它 是 Windows 
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Server 2008 系统 的 新 增 功能 之 一 。NPS 允许 用 户 通过 RADIUS 服务 器 、RADIUS 代理 和 网 络 访问 保护 策略 
服务 器 ， 集 中 配置 和 管理 网 络 策略 。 


(D RADIUS 服务 器 

从 Windows Server 2008 系统 开始 ，RADIUS 服务 器 已 经 被 集成 在 NPS 中 。 作 为 RADIUS 服务 器 ，NPS 
为 许多 类 型 的 网 络 访问 (包括 无 线 、 身 份 验证 切换 、VPN 远程 访问 、 路 由 器 到 路 由 器 的 连接 ] 执 行 集中 化 的 
连接 身份 验证 、 授 权 和 记 账 。 

RADIUS 服务 器 具有 对 用 户 账户 信息 的 访问 权限 , 并 可 以 检查 网 络 访问 身份 验证 凭据 。 如 果 用 户 的 凭据 
是 真实 的 , 并 且 连 接 尝 试 获得 授权 ,RADIUS 服务 器 将 根据 指定 条 件 向 用 户 授予 访问 权限 ， 并 将 网 络 访问 连 
接 记 录 到 记 账 日 志 中 。 使 用 RADIUS 允许 在 一 个 中 心 位 置 (而 不 是 在 每 台 访问 服务 器 上 ) 收 集 并 维护 网 络 访问 
用 户 身份 验证 、 授 权 和 记 账 数据 。 

(2] RADIUS 代理 


作为 RADIUS 代理 ，NPS 将 身份 验证 和 记 账 消息 转发 到 其 他 RADIUS 服务 器 。 使 用 NPS， 各 组 织 还 可 
以 在 保留 对 用 户 身份 验证 、 授 权 和 记 账 活动 控制 的 同时 ， 将 远程 访问 基础 结构 外 包 给 服务 提供 商 。 

(3】 NAP 策略 服务 器 

NAP 包含 在 Windows Vista 和 Windows Server 2008 中 ， 并 通过 确保 按照 组 织 网 络 健康 策略 配置 客户 
端 计算 机 后 才 允 许 其 连接 到 网 络 资源 ， 从 而 有 助 于 保护 对 专用 网 络 的 访问 。 此 外 ， 计 算 机 连接 到 网 络 时 ， 
NAP 会 监视 客户 端 计算 机 对 管理 员 定义 的 健康 策略 的 遵从 性 情况 。 使 用 NAP 自动 更 新 , 可 以 自动 更 新 不 符 
合 要 求 的 计算 机 ， 以 使 其 遵从 健康 策略 ， 从 而 使 它们 能 够 连接 到 网 络 。 

系统 管理 员 可 以 定义 网 络 健康 策略 ， 并 使 用 NPS 中 或 其 他 公司 (取决 于 NAP 部 署 ] 提 供 的 NAP 组 件 创 

健康 策略 可 以 包含 软件 要 求 、 安 全 更 新 要 求 和 所 需 的 配置 设置 等 内 容 。NAP 通过 检查 和 评估 客户 端 计 
算 机 的 健康 ， 在 认为 客户 端 计算 机 不 健康 时 限制 网 络 访问 ， 以 及 修正 不 健康 的 客户 端 计 算 机 以 进行 充分 的 
网 络 访问 ， 来 强制 运行 健康 策略 。 


13.5.3 ”更 新 服务 器 


当 用 户 配置 健康 要 求 策略 来 强制 受 限 访问 时 , 更 新 服务 器 是 不 符合 的 NAP 客户 端 可 以 访问 的 内 网 的 子 
集 。 更 新 服务 器 包括 网 络 基础 结构 服务 器 和 健康 更 新 服务 器 。 不 符合 的 NAP 客户 端 ， 使 用 这 些 服务 器 或 服 
务 器 上 的 资源 来 自动 或 手动 执行 更 新 。 健 康 要 求 策 略 也 可 以 为 不 支持 NAP 的 客户 端 强 制 受 限 访问 。 

如 果 使 用 报告 模式 ， 则 不 需要 更 新 服务 器 。 在 报告 模式 下 ， 不 符合 的 NAP 客户 端的 访问 不 受 限制 。 但 
是 ， 为 了 避免 不 符合 健康 要 求 的 计算 机 为 内 网 带 来 的 威胁 ， 必 须 最 终 转换 到 强制 模式 ， 即 需要 建立 更 新 服 
务 器 。 

在 VPN 和 DHCP 模式 下 不 符合 的 NAP 客户 端 ， 可 以 访问 的 更 新 服务 器 列表 ， 需 要 与 NAP 客户 端 健康 
评估 匹配 的 网 络 策略 的 NAP 强制 设置 中 指定 的 更 新 服务 器 组 相符 合 。 更 新 服务 器 组 是 一 个 IPv4 和 IPv6 地 
址 的 列表 。 该 列表 应 该 包括 网 络 基础 结构 服务 器 和 健康 更 新 服务 器 。 

基础 结构 服务 器 包括 如 下 几 个 部 分 : 

”DHCP 服务 器 , 为 不 符合 的 NAP 客户 端 分 配 IPv4 地 址 和 其 他 配置 参数 , 保证 其 可 以 访问 更 新 服务 

器 。 如 果 用 户 正 使 用 DHCP 强制 方式 ， 则 不 需要 添加 支持 NAP 的 DHCP 服务 器 作为 更 新 服务 器 。 
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和 ”DNS 和 WINS 服务 器 ， 为 不 符合 的 NAP 客户 端 提供 名 称 解析 ， 保 证 其 可 以 解析 名 称 ， 并 访问 其 他 

更 新 服务 器 。 

活动 目录 域 控制 器 , 保证 不 符合 的 NAP 客户 端 可 以 执行 域 登录 , 访问 基于 域 的 资源 , 如 文件 共享 。 

Internet 代理 服务 器 ， 保 证 不 符合 的 NAP 客户 端 可 以 访问 Internet。 

HRA， 保 证 不 符合 的 NAP 客户 端 可 以 在 IPSec 强制 模式 下 获取 健康 证 书 。 

更 新 NAP 客户 端 系统 健康 需要 健康 更 新 服务 器 ， 包 括 如 下 几 个 部 分 。 

。 ”疑难 解答 URL 服务 器 : 在 “更 新 服务 器 和 疑难 解答 URL” 对 话 框 中 的 疑难 解答 URL 文本 框 中 ， 
指定 Web 服务 器 。 

e@ ” 反 病 毒 更 新 服务 器 : 这 些 服务 器 可 能 位 于 Internet 上 。 如 果 用 户 拥 有 Internet 代理 服务 器 作 
为 更 新 服务 器 ， 则 不 需要 包含 基于 Internet 的 反 病 毒 更 新 服务 器 。 如 果 在 内 网 中 拥有 反 病 毒 
更 新 服务 器 ， 则 应 该 将 其 作为 更 新 服务 器 ， 因 为 在 尝试 连接 访问 基于 Internet 的 反 病毒 服务 
器 前 ， 通 常会 首先 在 这 些 服务 器 上 检查 更 新 。 

e。 ” 反 间 谍 更 新 服务 器 : 如 同 反 病毒 服务 器 一 样 ， 如 果 在 内 网 中 配置 了 反 间 谍 更 新 服务 器 ， 则 需 
将 其 作为 更 新 服务 器 。 如 果 只 存在 于 Internet 上 ， 确 保 Internet 代理 服务 器 包含 在 更 新 服务 
器 组 中 。 

e ”软件 更 新 服务 器 : 如 同 反 病毒 服务 器 一 样 ， 如 果 在 内 网 中 配置 了 软件 更 新 服务 器 ， 则 需 将 其 作 
为 更 新 服务 器 。 如 果 只 存在 于 Internet 上 ， 确 保 Internet 代理 服务 器 包含 在 更 新 服务 器 组 中 。 


更 新 NAP 客户 端 所 需要 的 健康 更 新 服务 器 的 设置 依赖 于 用 于 健康 评估 的 SHV。 


13.5.4 安装 NPS 


在 Active Directory 环境 中 部 署 NAP 系统 ， 用 户 可 以 更 充分 地 使 用 其 提供 的 网 络 访问 保护 功能 。 客 户 
端 可 以 是 Windows Server 2008、Windows Vista 或 Windows XP SP3 系统 ， 同 时 确保 已 加 入 域 。 默 认 安 装 
完成 Windows Server 2008 后 ， 没 有 安装 网 络 策略 和 远程 访问 服务 ， 需 要 网 络 用 户 手动 安装 该 服务 。 
@ 运行 “添加 角色 向 导 ”， 在 “选择 服务 器 角色 ”界面 中 ， 选 中 “网 络 策略 和 访问 服务 ” 复 选 框 ， 
如 图 13-2 所 示 。 


日 
日 
旦 
日 
日 
日 
日 
日 
日 
日 
日 
回 
日 
日 
日 


图 13-2 “选择 服务 器 角色 ”界面 


[4771 


Onn ED 


回 单 击 “ 下 一 步 ”按钮 ,显示 如 图 13-3 所 示 的 “网 络 策略 和 访问 服务 ”界面 。 其 中 概要 介绍 了 “网 
络 策略 和 访问 服务 ”完成 的 功能 ， 单 击 “ 其 他 信息 ”中 的 链接 可 以 查看 详细 帮助 文件 。 


图 13-3 “网 络 策略 和 访问 服务 ”界面 


图 单 击 “ 下 一 步 ” 按钮， 显示 如 图 13-4 所 示 的 “选择 角色 服务 ”界面 。 在 “角色 服务 ”列表 中 ， 选 
中 “网 络 策略 服务 器 ” 复 选 框 。 


图 13-4 “选择 角色 服务 ”界面 


提示 : 本 文中 设计 的 案例 只 是 网 络 访问 保护 系统 的 一 个 简单 应 用 ， 适 用 于 大 多 数 网 络 环境 。 角 色 服务 中 
的 “路 由 和 远程 访问 服务 ”、“ 健 康 注册 机 构 ” 和 Host Credential Authorization Protocol， 只 有 在 特殊 环 
境 中 才 会 用 到 ， 这 里 不 作 选 择 。 需 要 注意 的 是 ， 选 择 这 些 角色 后 ， 需 要 添加 相应 的 角色 服务 和 功能 组 件 ， 
如 选择 “健康 注册 机 构 ” 角 色 ， 就 需要 安装 Active Directory 证 书 服务 、Web 服务 器 等 。 


图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 13-5 所 示 的 “确认 安装 选择 ”界面 。 其 中 列 出 了 已 选择 安装 的 服 
务 设置 信息 。 
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回 单 击 “ 安 装 ”按钮 ， 开始 安装 选择 的 服务 。 安 装 完成 后 ， 显 示 如 图 13-6 所 示 的 “安装 结果 ”界面 。 


图 13-5 “确认 安装 选择 ”界面 


网络 第 虽 和 访问 服务 加 妇 半 上 力 
ED 


网络 第 克 服务 器 
是 轩 坟 机 和 天 5、 天 碳 靖 五 二 地 


图 13-6 “安装 结果 ”界面 
单 击 “ 关 闭 ” 按 钮 ， 完 成 “网 络 策略 和 访问 服务 ”的 安装 。 


13.5.5 ”NAP 健康 策略 服务 器 


NAP 执行 健康 评估 的 中 心服 务 器 是 运行 NPS 的 计算 机 ， 也 称 作 NAP 健康 策略 服务 器 。 这 里 运行 NPS 
的 计算 机 是 作为 RADIUS 服务 器 ， 从 NAP 强制 点 (RADIUS 客户 端 ) 接 收 RADIUS 访问 请 求 消息 ， 其 中 NAP 
强制 点 包括 健康 注册 机 构 (HRA)、802.11 无 线 访问 点 、802.1X 交换 机 、 支 持 NAP 的 VPN 服务 器 ， 以 及 支 
持 NAP 的 DHCP 服务 器 。 


1. 计划 和 设计 的 考虑 
当 配 置 NAP 健康 策略 服务 器 时 ， 必 须 考虑 如 下 计划 和 设计 的 问题 : 
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到 现 有 RADIUS 基础 结构 

至 “RADIUS 服务 器 的 容量 

和 ”NPS 日 志和 报告 模式 

和 ”分支 结构 

”系统 健康 的 有 效 性 

(D 现 有 RADIUS 基础 结构 

如 果 用 户 已 有 运行 Windows Server 2003 或 Windows Server 2008 和 IAS 的 RADIUS 服务 器 ， 则 必须 
在 现 有 RADIUS 服务 器 上 更 新 Windows Server 2008， 并 且 作 为 NAP 健康 策略 服务 器 进行 配置 。 

如 果 用 户 现 有 RADIUS 服务 器 运行 除了 Windows Server 2003 或 Windows Server 2008 以 外 的 操作 系 
统 , 那么 这 些 服务 器 就 不 能 更 新 支持 NPS 和 NAP 健康 评估 。 用 户 必须 配置 运行 Windows Server 2008 的 独 
立 计 算 机 和 NPS 作为 NAP 健康 策略 服务 器 。 

如 果 用 户 没有 RADIUS 基础 结构 ,必须 在 新 计算 机 或 现 有 计算 机 上 安装 Windows Server 2008 和 NPS。 
例如 ， 如 果 内 网 没有 为 有 线 连 接 、802.11 无 线 连接 或 VPN 连接 使 用 802.1X 身份 验证 ， 则 不 需要 RADIUS 
服务 器 。 但 当 用 户 配置 NAP 时 ， 无 论 使 用 哪 种 NAP 强制 方式 ， 都 需要 RADIUS 基础 结构 执行 健康 评估 。 

(2) RADIUS 服务 器 容量 

对 于 现 有 的 RADIUS 基础 结构 ， 大 部 分 情况 下 ， 用 户 可 以 为 NAP 健康 评估 使 用 与 第 2 层 身份 验证 、 授 
权 和 记 账 相同 的 RADIUS 服务 器 ,在 大 部 分 情况 下 ,不 需要 添加 其 他 RADIUS 服务 器 到 RADIUS 基础 结构 中 。 

如 果 用 户 没有 RADIUS 基础 结构 ， 可 以 配置 两 台 NAP 健康 策略 服务 器 ， 使 用 主 RADIUS 服务 器 和 备用 
RADIUS 服务 器 配置 NAP 强制 点 ， 在 两 台 NAP 健康 策略 服务 器 问 分 担负 载 。 

如 果 需 要 提高 RADIUS 容量 ,以 及 在 多 个 RADIUS 服务 器 间 均 衡 负载 ,可 以 在 NAP 强制 点 和 NAP 健康 
策略 服务 器 间 配 置 RADIUS 代理 层 。 

(3】 NPS 日 志和 报告 模式 

NPS 服务 日 志 入 站 RADIUS 请 求 是 到 本 地 文件 还 是 到 本 地 文件 和 运行 Microsoft SQL Server 的 计算 机 ， 
具体 取决 于 如 何 为 日 志 记录 配置 NPS。NPS 日 志 对 于 NAP 配置 十 分 重要 ， 因 为 用 户 可 以 在 局 域 网 中 ， 以 报 
告 模式 配置 NAP， 检 查 健康 符合 性 ， 但 是 没有 强制 受 限 网 络 访问 ， 并 且 没 有 通知 用 户 其 计算 机 与 系统 健康 
要 求 不 符合 。 在 报告 模式 中 ， 可 以 分 析 日 志 信息 来 确定 如 下 方面 : 

a ”局域网 中 哪些 计算 机 启用 了 NAP。 

”支持 NAP 的 计算 机 中 ， 哪 些 是 符合 的 。 

用 户 可 以 使 用 该 信息 来 配置 支持 NAP 的 计算 机 变 为 符合 。 报告 模式 运行 用 户 在 启用 强制 模式 之 前 调整 
NAP 的 配置 ， 这 样 不 符合 和 不 支持 NAP 的 客户 端的 访问 会 受到 限制 ， 并 且 NAP 客户 端的 用 户 会 被 通知 计 
算 机 与 系统 健康 要 求 不 符合 。 

(4) 分 支 机 构 

在 分 支 机 构 网 络 中 , 配置 执行 NAP 健康 评估 的 NPS 服务 器 , 主要 取决 于 该 分 支 结构 是 否 拥有 现成 的 活 
动 目录 域 控制 器 : 

”如 果 分 支 机 构 拥 有 现成 的 活动 目录 域 控制 器 ， 可 以 在 分 支 结构 的 至 少 两 台 域 控制 器 上 安装 NPS， 

分 支 结 构 的 NAP 强制 点 用 其 作为 NAP 健康 策略 服务 器 。 
”如 果 分 支 结 构 不 存在 现成 的 活动 目录 域 控制 器 ， 不 需要 在 分 支 结构 的 服务 器 上 安装 NPS。 只 需要 
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NAP 强制 点 使 用 RADIUS 服务 器 。 
如 果 分 支 结构 没有 现成 的 活动 目录 域 控制 器 ,也 可 以 在 分 支 结构 中 配置 基于 NAP 的 RADIUS 代理 ， 
使 用 RADIUS 服务 器 。 


(5] 系统 健康 的 有 效 性 

NPS 的 健康 策略 设置 允许 用 户 定义 健康 符合 性 和 不 符合 性 , 这 种 定义 以 安装 在 NAP 健康 策略 服务 器 的 
系统 健康 有 效 性 (SHV) 的 形式 进行 。NAP 健康 策略 服务 器 的 SHV 验证 NAP 客户 端的 系统 健康 代理 (SHA) 发 
出 的 系统 健康 状态 是 否 符合 一 种 或 多 种 系统 健康 属性 。SHYV 也 可 以 执行 NAP 客户 端 系统 健康 的 评估 ，NAP 
客户 端 健康 的 评估 结果 将 被 发 送 到 NPS 服务 来 匹配 网 络 策略 和 健康 策略 。 

Windows Server 2008 包含 Windows 安全 健康 有 效 性 、 对 应 Windows 安全 健康 代理 的 SHV。 使 用 
Windows 安全 健康 代理 和 “Windows 安全 健康 有 效 性 ， 可 以 为 Windows Vista 和 Windows XP SP3 的 
Windows 安全 中 心 的 系统 服务 定义 系统 健康 要 求 。 

除了 内 嵌 的 Windows 安全 健康 有 效 性 SHV， 用 户 将 需要 确定 为 NAP 客户 端 定义 系统 健康 要 求 的 其 他 
SHV。 其 他 SHV 可 能 从 提供 商 处 获取 ， 支 持 第 三 方 主机 防火 墙 、 防 毒 软件 、 反 间谍 软件 、 入 侵 检测 系统 和 
其 他 安全 软件 。 


之 


配置 步骤 


为 了 配置 NAP 健康 策略 服务 器 ， 需 要 完成 如 下 任务 : 


3. 


如 果 需 要 ， 可 以 配置 基于 NPS 的 RADIUS 服务 器 。 

指定 哪个 RADIUS 服务 器 是 NAP 健康 策略 服务 器 。 

如 果 需 要 ， 可 以 在 RADIUS 服务 器 上 为 NAP 强制 点 添加 RADIUS 客户 端 。 例 如 ， 如 果 无 线 AP、 身 
份 验证 交换 机 和 VPN 服务 器 的 RADIUS 客户 端 已 经 配置 完成 ， 并 且 用 户 不 想 使 用 IPSec 或 DHCP 
强制 , 那么 NAP 健康 策略 服务 器 不 需要 配置 其 他 RADIUS 客户 端 。 但 是 ,如 果 用 户 计 划 使 用 IPSec 
或 DHCP 强制 方式 ， 则 必须 添加 符合 HRA 和 DHCP 服务 器 的 RADIUS 客户 端 。 

根据 需要 ， 在 NPS 健康 策略 服务 器 上 为 健康 评估 安装 和 配置 SHV。 

根据 需要 使 用 “配置 NAP 向 导 ” 配 置 NAP 健康 要 求 策略 。 


运行 维护 


NAP 健康 策略 服务 器 的 维护 工作 包括 : NAP 强制 点 的 RADIUS 客户 端的 管理 和 SHV 健康 要 求 策略 的 


管理 。 


(D 为 NAP 强制 点 管理 RADIUS 客户 端 
当 用 户 配置 新 的 NAP 强制 点 时 ， 如 新 的 无 线 AP 或 VPN 服务 器 ， 必 须 完成 如 下 工作 : 


将 RADIUS 客户 端 添加 NAP 强制 点 到 NPS 健康 策略 服务 器 上 。 
配置 NAP 强制 点 ， 使 其 使 用 NAP 健康 策略 服务 器 作为 RADIUS 服务 器 。 


当 用 户 移 除 NAP 强制 点 时 ， 在 NAP 健康 策略 服务 器 上 删除 NAP 强制 点 作为 RADIUS 客户 端 。 
(2] 为 SHV 管理 健康 要 求 策略 
当 用 户 在 健康 要 求 策略 中 有 新 的 SHV 时 ， 必 须 完 成 如 下 工作 : 


根据 需要 ， 在 NAP 客户 端 上 安装 相应 的 SHA。 
在 NAP 健康 策略 服务 器 上 安装 SHV。 
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”为 了 SHV 配置 健康 要 求 ， 并 配置 健康 策略 ， 使 新 的 SHV 包含 在 系统 健康 评估 中 。 
当 用 户 想 要 移 除 SHV 时 ， 需 要 完成 如 下 工作 。 

”配置 健康 策略 ， 使 其 不 青 在 系统 健康 评估 中 包含 新 的 SHV。 

和 ”从 NPS 健康 策略 服务 器 上 移 除 SHV。 

和 ”从 NAP 客户 端 上 移 除 相 应 的 SHA。 


13.5.6 ”健康 要 求 策略 配置 


NAP 健康 策略 服务 器 上 的 健康 要 求 策略 ， 决 定 支持 NAP 的 客户 端 是 否 符合 ， 如 何 处 理 不 符合 的 NAP 
客户 端 ， 以 及 是 否 应 该 自动 修正 它们 的 健康 状态 ， 和 如 何 处 理 不 支持 NAP 的 客户 端 。 
1. 健康 要 求 策略 的 组 件 
健康 要 求 策略 的 组 成 部 分 包括 连接 请 求 策略 、 健 康 策略 、 网 络 策略 和 NAP 设置 。 
(了) 连接 请 求 策略 
连接 请 求 策略 是 一 种 规则 的 指令 组 ， 允 许 NPS 服务 确定 RADIUS 客户 端 是 否 有 指定 的 连接 尝试 或 记 账 
消息 ， 被 发 送 到 另 一 个 RADIUS 服务 器 ， 用 户 可 以 在 网 络 策略 服务 器 管理 单元 中 “策略 \ 连 接 请 求 策 略 ” 节 
点 配置 连接 请 求 策略 。 当 发 送 消息 时 ， 可 以 连接 请 求 策略 指定 的 远程 RADIUS 服务 器 组 ， 并 可 在 “网 络 策 
略 服务 器 ”管理 单元 中 的 “RADIUS 客户 端 和 服务 器 \ 远 程 RADIUS 服务 器 组 ”节点 中 进行 配置 。 
当 配 置 NPS 服务 器 执行 NAP 健康 评估 时 ，NPS 即 为 RADIUS 服务 器 ， 所 以 不 需要 远程 RADIUS 服务 器 
组 。 但 是 ，RADIUS 请 求 消息 的 本 地 处 理 的 连接 请 求 策略 ， 需 要 为 NAP 健康 评估 进行 配置 或 定制 。 
(2] 健康 策略 
健康 策略 允许 用 户 在 安装 SHV 的 条 件 下 指定 健康 要 求 , 以 及 NAP 客户 端 是 否 必 须 通过 或 未 通过 所 有 选 
择 的 SHV。 如 图 13-7 所 示 为 健康 策略 的 示例 。 
在 “策略 名 称 ” 文 本 框 中 ， 输 入 策略 的 唯一 名 称 。 在 “客户 端 SHV 检查 ”下 拉 列 表 中 ， 可 以 根据 需要 
选择 如 下 内 容 。 
se“ 客户 端 通过 了 所 有 SHV 检查 : 在 连接 请 求 中 的 客户 端 健康 状态 ， 必 须 通过 所 有 SHV 的 健康 要 求 。 
se“ 客户 端 未 能 通过 所 有 SHV 检查 : 在 连接 请 求 中 的 客户 端 健康 状态 ， 必 须 未 通过 所 有 SHV 的 健康 
要 求 。 
se 客户 端 通过 一 个 或 多 个 SHV 检查 : 连接 请 求 中 的 客户 端 健康 状态 , 必须 至 少 通过 一 个 SHV 的 健康 
要 求 。 
”客户 端 未 能 通过 一 个 或 多 个 SHV 检查 : 连接 请 求 中 的 客户 端 健康 状态 ， 必 须 未 通过 至 少 一 个 SHV 
的 健康 要 求 。 
在 “此 健康 策略 中 使 用 的 SHV” 列表 框 中 , 选择 已 安装 的 应 用 于 策略 的 SHV。 默认 情况 下 , “Windows 
安全 健康 验证 程序 ”已 显示 在 列表 中 。 
(3] 网 络 访问 保护 设置 
在 “网 络 策略 服务 器 ”控制 台中 ， 在 “网 络 访问 保护 ”节点 中 的 网 络 访问 保护 设置 ， 包 括 系统 健康 验 
证 器 和 更 新 服务 器 组 。 系 统 健康 验证 器 为 健康 要 求 和 错误 条 件 指定 SHV 的 配置 。 更 新 服务 器 组 为 网 络 访问 
受 限 的 不 符合 的 客户 端 ， 在 DHCP 和 VPN 强制 方式 下 指定 可 用 的 服务 器 组 。 


[4821 


m ”系统 健康 验证 器 


在 系统 健康 验证 器 节点 , 显示 了 安装 在 NPS 服务 器 上 的 SHV 的 设置 允许 用 户 为 健康 要 求 和 错误 
条 件 配置 这 些 设置 。 默 认 情 况 下 ，Windows 安全 健康 验证 程序 已 经 安装 ， 如 图 13-8 所 示 为 
“Windows 安全 健康 验证 程序 属性 ”对 话 框 。 


图 13-7 ”健康 策略 的 示例 图 13-8 “Windows 安全 健康 验证 程序 属性 ”对 话 框 


在 该 对 话 框 中 ， 可 以 配置 NPS 解析 各 种 错误 代码 。 单 击 “ 配 置 ” 按 钮 ， 可 以 配置 Windows 安全 
健康 验证 SHV 的 健康 要 求 ， 显 示 如 图 13-9 所 示 的 “Windows 安全 健康 验证 程序 ”对 话 框 。 用 户 
可 以 为 NAP 客户 端 选择 健康 要 求 ， 在 Windows Vista( 在 Windows Vista 选项 卡 ] 和 Windows XP 
SP3( 在 Windows XP 选项 卡 ) 中 的 Windows 安全 中 心 ， 会 监视 这 些 内 嵌 的 Windows 服务 。 


TFT 


图 13-9 “Windows 安全 健康 验证 程序 ”对 话 框 


”更 新 服务 器 组 
更 新 服务 器 组 是 在 VPN 和 DHCP 强制 方式 下 ， 不 符合 的 NAP 客户 端 和 不 支持 NAP 的 客户 端 可 以 
访问 的 服务 器 列表 。 对 于 不 符合 的 NAP 客户 端 或 不 支持 NAP 的 客户 端 拥有 单独 的 组 ， 或 者 对 于 
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不 同 的 NAP 强制 方式 拥有 单独 的 组 。 

为 了 创建 新 的 更 新 服务 器 组 ,在 “网 络 策略 服务 器 ” 控 
制 台中 ， 展 开 “ 网 络 访问 保护 ”节点 ， 右 击 “ 更 新 服务 
器 组 ”并 在 弹出 的 快捷 菜单 中 选择 “新 建 ” 命令。 在 出 
现 的 “新 建 更 新 服务 器 组 ”对 话 框 中 ， 可 以 通过 DNS 
名 称 、IPv4 地 址 或 IPv6 地 址 指定 更 新 服务 器 ， 如 
图 13-10 所 示 。 


(外 网 络 策略 

网 络 策略 可 以 指定 已 经 被 授权 连接 到 网 络 的 用 户 , 以 及 通过 

无 法 连接 到 网 络 的 环境 。 对 于 每 一 条 规则 ， 都 包含 访问 权限 (允许 或 拒绝 访问 ]、 条 件 、 约 束 和 网 络 策略 设 
置 。 如 果 连 接 被 授权 ， 网 络 策略 约束 和 设置 可 以 指定 一 组 连接 约束 。 对 于 NAP， 网 络 策略 为 不 符合 的 NAP 
客户 端 或 未 启动 NAP 的 客户 端 指定 强制 行为 ， 为 健康 要 求 指定 检查 条 件 : 


图 13-10 “新 建 更 新 服务 器 组 ”对 话 框 


NAP 的 访问 权限 设置 。 无 论 NAP 健康 验证 是 否 对 认证 和 授权 的 连接 尝试 起 作用 ， 都 可 以 选择 “ 授 

予 访问 权限 ”来 保证 连接 请 求 被 健康 验证 程序 处 理 。 连 接 尝试 被 授权 ， 但 是 不 符合 的 NAP 客户 端 

或 不 支持 NAP 的 客户 端 仍 受到 限制 。 如 果 选 择 “拒绝 访问 ”， 连 接 尝 试 将 会 被 拒绝 ， 并 且 不 会 执 

行 健康 验证 。 用 户 可 以 创建 网 络 策略 来 明确 地 拒绝 访问 ， 但 是 这 些 网 络 策略 不 需要 NAP 设置 ， 因 

为 没有 必要 验证 不 允许 访问 的 计算 机 的 系统 健康 。 

NAP 的 网 络 策略 条 件 。NAP 允许 将 如 下 条 件 添加 到 NPS 网 络 策略 中 。 

。 ”健康 策略 : 指定 之 前 配置 的 健康 策略 。 

e。 ”支持 NAP 的 计算 机 : 指定 客户 端 是 否 启用 NAP。 

e ”策略 过 期 : 指定 网 络 策略 过 期 时 间 和 不 再 进行 评估 的 时 间 。 用 户 可 以 使 用 该 条 件 从 NAP 操作 
的 报告 模式 转换 到 强制 模式 。 

这 里 以 为 NAP 网 络 策略 使 用 健康 策略 ， 和 支持 NAP 的 计算 机 的 条 件 为 例 进行 介绍 。 

e。 ”对 于 只 应 用 于 通过 了 所 有 SHV 健康 要 求 的 符合 的 支持 NAP 的 客户 端的 网 络 策略 , 设置 健康 策 
略 条 件 ， 指 定 “ 客 户 端 通过 了 所 有 SHV 检查 ”选项 。 

e。 ”对 于 只 应 用 于 未 通过 所 有 SHV 健康 要 求 的 不 符合 的 NAP 客户 端的 网 络 策略 ， 设 置 健康 条 件 ， 
指定 “客户 端 未 能 通过 所 有 SHV 检查 ”选项 。 

e。 ”对 于 只 应 用 于 不 支持 NAP 的 客户 端的 网 络 策略 ， 设 置 支持 NAP 的 计算 机 条 件 为 “ 仅 限 不 支 
持 NAP 的 计算 机 ”。 

NAP 网 络 策略 设置 。Windows Server 2008 中 的 网 络 策略 拥有 一 系列 的 NAP 强制 网 络 策略 设置 ， 

如 图 13-11 所 示 。 对 于 NAP 强制 设置 ， 可 以 指定 如 下 选项 。 

e ”允许 完全 网 络 访问 : 指定 连接 尝试 可 以 不 受 限 制 地 访问 网 络 。 该 选项 适用 于 符合 的 NAP 客户 
端的 网 络 策略 。 

e。 ”允许 在 有 限时 间 内 对 网 络 执行 完全 访问 : 指定 连接 尝试 可 以 无 限制 地 访问 网 络 , 不 符合 的 NAP 
客户 端 计算 机 的 用 户 会 收 到 一 个 通知 消息 , 通知 其 必须 在 配置 的 日 期 和 时 间 之 内 变 为 符合 的 。 
该 方式 也 称 延 期 强制 模式 。 

e ”允许 受 限 访问 : 指定 连接 尝试 网 络 访问 受 限 。 不 符合 的 NAP 客户 端 计算 机 的 用 户 会 收 到 “该 
计算 机 不 符合 网 络 要 求 ”的 消息 。 该 选项 适用 于 不 符合 的 NAP 客户 端 或 不 支持 NAP 的 客户 
端的 网 络 策略 。 该 方式 也 称 强制 模式 。 


第 乌 章 网 络 访问 保护 概述 


e ”启用 客户 端 计算 机 的 自动 更 新 功能 :指定 NAP 客户 端 是 否 必 须 自 动 更 新 。 


性 


指定 是 严 委 对 此 染 畴 强 创 立 施 同 纵 访问 保护 * 
人 和 许 完 全 入 访问 加 
tt 从 放 宫 户 沽 和 行 不 受 限 制 的 由 纺 访 问 。 对 报告 模式 合 


C NRW 间 
不 符 言 坏人 和 膏 记 并 只 允许 访 各 限 局 络 以 进行 本 新 。 
更 新 服务 器 组 和 和 难 解 答 YEL 
若 要 芭 天 再 新 站 务 寺 组、 于 于 区 每 TRL 或 同时 本 再 二 者 语音 寺 “了 次”， 


自动 更 新 
反 启用 识 户 灌 计 算 机 的 自动 更 新 功能 QD) 
自动 更 厅 不 前 下 此 芒 本 所 定义 的 建 妆 要 求 的 计算 机 > 


图 13-11 NAP 强制 设置 


对 于 受 限 访问 ， 单 击 “配置 ”按钮 ， 显 示 如 图 13-12 所 示 的 “更 新 服务 器 和 疑难 解答 URL” 对 话 框 ， 
指定 更 新 服务 器 组 和 疑难 解答 URL。 

在 “更 新 服务 器 组 ”下 拉 列表 中 ， 选 择 之 前 配置 的 更 新 服务 器 组 ， 或 者 单 击 “ 新 建 组 ”按钮 ， 弹 出 如 
13-13 所 示 的 “新 建 更 新 服务 器 组 ”对 话 框 ， 创 建新 的 更 新 服务 器 组 。 在 “疑难 解答 URL” 文 本 框 中 ， 


输入 更 新 服务 器 的 Web 页 面 的 URL。 该 URL 当 用 户 单 击 “ 网 络 访问 保护 ”对 话 框 中 的 “详细 信息 ”时 是 
活动 的 。 


图 13-12 “更 新 服务 器 和 疑难 解答 URL” 对 话 框 图 13-13 “新 建 更 新 服务 器 组 ”对 话 框 
在 Web 页 面 中 ， 可 以 确定 如 何 更 新 计算 机 使 之 变 为 符合 的 或 执行 网 络 访问 的 疑难 解答 。 在 netsh nap 
client show state 命令 显示 中 该 URL 也 是 可 见 的 。 
(5] 配置 NAP 向 导 
通过 “配置 NAP 向 导 ” 可 以 简单 地 完成 NAP 健康 要 求 策略 的 初始 配置 。 


@ ”依次 选择 “开始 ”一 “管理 工具 ”一 “网 络 策略 服务 器 ”命令 ， 显 示 如 图 13-14 所 示 的 “网 络 策 
略 服务 器 ”窗口 。 在 右 侧 下 拉 列 表 中 ， 选 择 “ 网 络 访问 保护 (NAP])” 选 项 。 
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图 13-14 “网 络 策略 服务 器 ”窗口 


@ 单 击 “ 配 置 NAP” 按 钮 显示 如 图 13-15 所 示 的 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”界面 。 
根据 需要 , 在 下 拉 列表 中 选择 网 络 连接 方式 (NAP 强制 方式 )， 系统 会 自动 为 NAP 健康 要 求 策略 创建 
一 个 名 称 ， 也 可 根据 需要 进行 修改 。 这 里 选择 “ 带 有 健康 注册 机 构 (HRA) 的 IPSec” 网 络 连接 方法 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 13-16 所 示 的 “指定 NAP 强制 服务 器 运行 HRA” 界 面 ,根据 NAP 
强制 点 添加 、 编 辑 或 移 除 RADIUS 客户 端 。 配 置 NAP 向 导 只 是 允许 用 户 添加 RADIUS 客户 端 来 代 
替 在 RADIUS 客户 端 节点 中 手动 添加 。 


CD 
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13-15 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”界面 13-16 “指定 NAP 强制 服务 器 运行 HRA” 界 面 


© 注意 ; 根据 用 户 选择 的 网 络 方式 ， 可 能 会 显示 其 他 页 面 选 项 ， 如 DHCP 作用 域 或 终端 服务 网 关 。 应 适当 
地 配置 这 些 选项 。 


@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 13-17 所 示 的 “配置 用 户 组 和 计算 机 组 ”界面 。 单 击 “ 添 加 计算 
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机 ”按钮 ， 添 加 计算 机 组 或 用 户 组 来 指定 向 导 创建 的 网 络 策略 ， 可 以 只 应 用 于 特定 计算 机 组 的 计 
算 机 账户 ， 或 只 应 用 于 特定 用 户 组 的 用 户 账户 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 13-18 所 示 的 “定义 NAP 健康 策略 ”界面 。 根 据 需要 配置 用 户 想 
要 强制 的 SHV、 自 动 更 新 行为 和 对 于 不 支持 NAP 的 计算 机 的 行为 。 


图 13-17 “配置 用 户 组 和 计算 机 组 ”对 话 框 图 13-18 “定义 NAP 健康 策略 ”界面 


单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 13-19 所 示 的 “正在 完成 NAP 增强 策略 和 RADIUS 客户 端 配 置 ” 
界面 。“ 配 置 NAP 向 导 ” 的 结果 如 图 中 所 示 。 


图 13-19 “正在 完成 NAP 增强 策略 和 RADIUS 客户 端 配置 ”界面 


@ 单 击 “ 完 成 ”按钮 ， 完 成 NAP 的 配置 。 在 “网 络 策略 服务 器 ”窗口 左 侧 控制 台中 ,展开 “ 策 
略 ”一 “连接 请 求 策略 ”节点 ， 新 添加 的 策略 即 可 显示 在 右 侧 栏 中 ， 如 图 13-20 所 示 。 


© 知识 : 新 建 的 连接 请 求 策略 和 网 络 策略 被 添加 到 各 自 列表 的 未 端 ， 用 户 可 根据 需要 修改 这 些 评估 顺序 。 
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图 13-20 ”查看 连接 请 求 策略 


2. NAP 健康 评估 工作 过 程 
在 NAP 健康 策略 服务 器 上 的 NPS 服务 通过 如 下 过 程 来 执行 健康 评估 。 
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@ 故国 


9 


当 NAP 健康 策略 服务 器 上 的 NPS 服务 ， 从 NAP 强制 点 收 到 RADIUS 访问 请 求 消息 时 ， 首 先 确定 
该 消息 是 否 来 自 相应 的 配置 好 的 RADIUS 客户 端的 地 址 。 如 果 答 案 是 否 , 则 NPS 服务 丢弃 该 消息 。 
NAP 健康 策略 服务 器 处 理 来 自 未 配置 的 RADIUS 客户 端的 RADIUS 消息 。 

NPS 服务 比较 访问 请 求 消息 和 配置 的 连接 请 求 消息 。 对 于 NAP, 访问 请 求 消息 需要 与 指定 NPS 服 
务 执行 认证 和 授权 的 连接 请 求 策略 匹配 。 

NPS 服务 评估 访问 请 求 消息 中 的 健康 信息 ， 该 信息 包含 在 SSoH 中 。NPS 将 每 个 SoH 发 送 给 相应 
的 SHV 进行 评估 。 评 估 结 果 包含 在 SHV 的 SoHR 中 。 

NPS 服务 依靠 网 络 策略 评估 访问 请 求 消息 和 SoHR。SoHR 如 同 NAP 网 络 策略 的 健康 策略 条 件 。 
NPS 服务 应 用 最 好 的 匹配 网 络 策略 于 访问 请 求 消息 。 最 好 的 匹配 网 络 策略 是 首先 与 指定 源 匹 配 的 
网 络 策略 ， 或 者 首先 与 未 指定 源 匹配 的 网 络 策略 。 

根据 最 好 匹配 策略 和 网 络 策略 的 网 络 访问 保护 设置 ，NPS 服务 创建 健康 响应 的 系统 状态 (SSoHR)， 
包括 SHV 的 SoHR 和 如 下 指示 : 

NAP 客户 端 可 以 不 受 限 访问 。 

NAP 客户 端 访问 受 限 。 这 种 情况 下 ，SSoHR 也 指示 客户 端 是 否 应 该 自动 尝试 更 新 不 符合 的 健康 
状态 。 

NPS 服务 发 送 包 含 SSoHR 的 RADIUS 访问 接受 消息 到 NAP 强制 点 。 如果 客户 端 访 问 受 限 , 访问 接 
收 消息 也 可 以 包含 RADIUS 属性 ， 指 定 NAP 客户 端 访 问 如 何 受 限 。 

NAP 强制 点 发 送 SSoHR 到 NAP 客户 端 。 


网 络 策略 服务 器 可 以 为 多 种 网 络 服务 提供 健康 策略 
评估 ， 常 用 强制 方式 有 IPSec 策略 强制 、802.1X 端口 的 
有 线 和 无 线 网 络 访问 控制 、VPN 远程 访问 限制 和 DHCP 
地 址 租约 和 续 订 限制 。 每 一 种 NAP 强制 方法 都 有 其 适用 
场合 和 范围 。 通 过 组 合 强制 方法 ， 可 以 消除 NAP 部 署 中 
的 大 部 分 缺点 。 但 是 ， 同 时 部 署 多 种 NAP 强制 方法 可 能 
会 使 NAP 难以 管理 。 


全 关键 记 
配置 IPSec 强制 
配置 802.1X 强制 
配置 VPN 强制 
配置 DHCP 强制 
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14.1 配置 IPSec 强制 


IPSec 强制 的 配置 主要 包括 如 下 内 容 : 配置 活动 目录 、 配 置 PKI、 配 置 HRA、 配 置 NAP 健康 策略 服务 
器 、 配 置 边界 网 络 中 的 更 新 服务 器 、 配 置 NAP 客户 端 与 配置 和 应 用 IPSec 策略 。 


14.1.1 配置 PKI 


为 IPSec 强制 配置 基于 Windows 的 PKI， 需 要 完成 如 下 工作 : 
添加 根 CA( 根 据 需 要 )。 

在 发 布 CA 级 别 创建 NAP CA。 

验证 NAP CA 属性 (企业 CA) 。 

为 健康 证 书 创建 证 书 模板 (企业 CA) 。 

配置 NAP CA 允许 非 默 认 的 生命 周期 (企业 CA)。 

配置 健康 证 书 模板 的 自动 注册 (企业 CA)。 

为 健康 证 书 公布 证 书 模板 (企业 CA)。 

配置 证 书 的 自动 注册 。 


1. 添加 根 CA 


如 果 用 户 没有 基于 Windows 的 PKI， 则 必须 在 安全 网 络 中 的 计算 机 上 创建 根 CA， 根 据 企 业 需要 和 安 
全 策略 创建 中 间 一 级 的 CA。 


2. 在 发 布 CA 级 别 创建 NAP CA 


为 了 在 运行 Windows Server 2008 的 计算 机 上 添加 NAP CA， 可 以 使 用 “服务 器 管理 器 ”， 安 装 活动 目 
录 证 书 服务 角色 。 对 于 NAP CA， 不 需要 证 书 颁 发 机 构 Web 自动 注册 、 联 机 应 答 ， 或 网 络 设备 自动 注册 服 
务 角色 。 在 安装 活动 目录 证 书 服务 角色 的 过 程 中 ， 如 果 NAP 客户 端 没有 使 用 HRA 的 DNS 发 现 ， 保 证 NAP 
CA 计算 机 作为 证 书 层级 的 发 布 CA 中 的 从 属 、 独 立 的 CA。 此 时 ， 保 证 NAP CA 计算 机 是 从 属 的 企业 CA。 
如 果 添 加 NAP CA 到 运行 Windows Server 2003 的 计算 机 上 ， 可 以 在 “控制 面板 ”的 “添加 或 删除 程 
序 ” 窗 口中 ， 使 用 “Windows 组 件 向 导 ” 安 装 证 书 服务 组 件 。 在 安装 证 书 服务 组 件 过 程 中 ， 保 证 NAP CA 
计算 机 作为 证 书 层级 的 发 布 CA 中 的 从 属 的 CA。 
3. 验证 NAP CA 的 属性 
必须 验证 NAP CA 不 需要 管理 员 批准 要 求 的 证 书 ， 具 体操 作 步 骤 如 下 。 
@ 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 Certification Authority 命令 ， 打 开 Certification Authority 窗 
口 ， 右 击 NAP CA 的 名 称 并 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 显 示 如 图 14-1 所 示 的 证 书 属 
@ ”切换 到 “策略 模块 ”选项 卡 ， 单 击 “ 属 性 ”按钮 ， 显 示 如 图 14-2 所 示 的 “属性 ”对 话 框 。 在 “请 
求 处 理 ” 选 项 卡 中 ， 选 择 “ 如 果 可 以 的 话 ， 按 照 证 书 模板 中 的 设置 。 否 则 ， 将 自动 颁发 证 书 。” 
单 选 按钮 。 
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图 14-1 证 书 属性 对 话 框 图 14-2 “属性 ”对 话 框 


图 连续 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 

4. 为 健康 证 书 创建 证 书 模板 

对 于 基于 Windows Server 2003 的 NAP CA, 必须 手动 创建 系统 健康 身份 验证 证 书 模板 , 从 而 保证 IPSec 
安全 组 的 成 员 可 以 自动 注册 长 生命 周期 的 健康 证 书 。 对 于 基于 Windows Server 2008 的 NAP CA, 系统 中 已 
经 包括 了 系统 健康 身份 验证 证 书 模板 ， 但 是 ， 必 须 确保 系统 健康 身份 验证 证 书 模板 拥有 适当 的 自动 注册 的 


权限 。 
Q@ 单 击 “ 开 始 ” 一 “运行 ”命令 ,在 “打开 ”文本 框 中 输入 “certtmpl.msc”， 并 按 Enter 键 运行 ， 


显示 如 图 14-3 所 示 的 “证 书 模板 控制 台 ” 窗 口 。 


图 14-3 “证 书 模板 控制 台 ” 窗 口 


回 右 击 “工作 站 身份 验证 ”并 在 弹出 的 快捷 菜单 中 选择 “复制 模板 ”选项 , 显示 如 图 14-4 所 示 的 “新 
模板 的 属性 ”对 话 框 。 在 “模板 显示 名 称 ”文本 框 中 , 输入 “系统 健康 身份 验证 ”。 选中 “在 Active 


Directory 中 发 布 证 书 ” 复 选 框 ， 使 该 证 书 在 域 环境 中 颁发 。 
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图 切换 到 “扩展 ”选项 卡 ， 在 “这 个 模板 中 包括 的 扩展 ”列表 框 中 ， 选 择 “ 应 用 程序 策略 ”选项 。 
单 击 “ 编 辑 ” 按 钮 ， 显 示 如 图 14-5 所 示 的 “编辑 应 用 程序 策略 扩展 ”对 话 框 。 


[ 2 EC ,| 


图 14-4 “新 模板 的 属性 ”对 话 框 图 14-5 “编辑 应 用 程序 策略 扩展 ”对 话 框 


图 单 击 “ 添 加 ”按钮 ， 显 示 如 图 14-6 所 示 的 “添加 应 用 程序 策略 ”对 话 框 。 在 “应 用 程序 策略 ” 
列表 框 中 ， 选 择 “系统 健康 身份 验证 ”选项 。 
回 ”连续 单 击 “ 确 定 ” 按钮， 返回 “新 模板 的 属性 ”对 话 框 ， 切 换 到 如 图 14-7 所 示 的 “安全 ”选项 卡 。 


ET 


图 14-6 “添加 应 用 程序 策略 ”对 话 框 图 14-7 “安全 ”选项 卡 


单 击 “添加 ”按钮 ， 显 示 如 图 14-8 所 示 的 “选择 用 户 、 计 算 机 或 组 ”对 话 框 ， 输 入 IPSec NAP 安 
全 组 的 名 称 ， 单 击 “ 检 查 名 称 ” 按 钮 ， 检 查 输入 的 组 名 是 否 正确 。 

回 单 击 “ 确 定 ” 按 钮 ， 在 “安全 ”选项 卡 中 ， 选 择 IPSec NAP 安全 组 的 名 称 ， 在 “IPSec 的 权限 ” 列 
表 框 中 选中 “注册 ”和 “自动 注册 ”对 应 的 “允许 ” 复 选 框 ， 如 图 14-9 所 示 。 

单 击 “ 确 定 ”按钮 ， 保 存 设置 。 此 时 ， 新 模板 即 可 添加 到 模板 控制 台中 ， 如 图 14-10 所 示 。 

5. 发 布 新 的 健康 证 书 模板 


Q@ 在 根 CA 计算 机 上 ， 运 行 “ 证 书 颁 发 机 构 ” 管 理 单元 ， 如 图 14-11 所 示 。 
@ 右 击 “ 证 书 模板 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 ”一 “要 和 颁发 的 证 书 模板 ”命令 ， 显 示 如 
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图 14-12 所 示 的 “启用 证 书 模板 ”对 话 框 。 


图 14-8 “选择 用 户 、 计 算 机 或 组 ”对 话 框 图 14-9 赋予 用 户 相应 的 权限 


图 14-10 ”成功 添加 模板 


图 14-11 “证 书 颁发 机 构 ”窗口 图 14-12 “启用 证 书 模板 ”对 话 框 
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@ Windows Server 2008 


@@ 选中 “系统 健康 身份 验证 ”， 单 击 “ 确 定 ”按钮 ， 即 可 颁发 该 模板 ， 如 图 14-13 所 示 。 


EECEYTT 


lpen-LII-CAA 证 用 楼 板 ] lolxl 


构 味 地 ) 
a 


ICA 


于 路 关中 机 申请 音 户 湛 身 份 对 证 

习 目 杂记 子 郝 件 县 制 呈 录 服务 包子 邮 御 复制 

习 域 近 抽 和 身份 验证 豆 记 湛 和 从 验证， 服务 尖 身 从 给 下， 
障 恢复 代理 x 

本 TPS 


加 车 文件 系统 
习 域 这 制 襄 户 湛 身 谷 驻 证 ， 腿 务 器 身份 过 下 
习 Yek 服务 器 加 务 回身 从 对 证 
习 计 算 机 襄 户 湛 身 谷 驻 证 ， 腿 务 加 身份 给 下 
习 用 户 加 这 六 件 系 统 . 襄 户 
习 从 属 让 书 请 点 机 构 
悦 系 绞 窟 硅 气 


图 14-13 成功 颁发 新 的 模板 
6. 配置 NAP CA 允许 非 默 认 的 生命 周期 


企业 NAP CA 必须 配置 为 允许 非 默 认 的 生命 周期 。 否 则 ， 符 合 的 NAP 客户 端 将 被 发 布 健康 证 书 模板 指 
定 的 生命 周期 的 健康 证 书 ， 而 不 是 HRA 配置 中 指定 的 短 生 命 周期 。 


配置 企业 NAP CA 允许 非 默 认 的 生命 周期 的 具体 操作 步骤 如 下 。 
@ 在 企业 NAP CA 计算 机 的 命令 行 中 ， 运 行 certutilexe -setreg policy\EditFlags +EDITF_ 
ATTRIBUTEENDDATE 命令 ， 结 果 如 图 14-14 所 示 


Fp_ENABLEAKI KEY ID 
ENABLEDEPAUL 
F_ENA BLECHASECLI ENT 1BBB98 ¢18485 


i816e C1114478> 
T 


IDDOLDKEYUS 和 | 
TEENDDAT! 
NSTRAINI 


图 14-14 配置 企业 NAP CA 


@， 运行 net stop certsvc 和 net start certsvc 命令 ， 重 启 活动 目录 证 书 服务 ， 如 图 14-15 所 示 。 
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图 14-15 重启 活动 目录 证 书 服务 


7. 配置 健康 证 书 模板 的 自动 注册 


为 了 使 边界 计算 机 (IPSec NAP 安全 组 成 员 ) 自 动 获取 长 生命 
周期 的 健康 证 书 ， 必 须 在 活动 目录 中 启用 证 书 自动 注册 。 

在 “组 策略 管理 编辑 器 ”中 ， 展 开 “ 计 算 机 配置 ”一 “策略 ” 

一 “Windows 设置 ”一 es 一 “ 公 钥 策略 ”节点 。 双 击 

“证 书 服务 客户 端 - 自动 注册 ”选项 , 显示 如 图 14-16 所 示 的 “证 


书 服务 客户 端 - 自动 注册 属性 ” er 在 “配置 型 号 ”下 拉 
列表 中 ， 选 择 “已 启用 ”选项 ， 并 选中 “ 续 订 过 期 证 书 、 更 新 未 


决 证 书 并 删除 吊销 的 证 书 ” 和 “更 新 使 用 证 书 模板 的 证 书 ” 复 选 
框 。 单 击 “ 确 定 ”按钮 ， ee 设置 。 


14.1.2 配置 HRA 
配置 HRA 主要 包括 添加 HRA 到 IPSec NAP 安全 组 、 
使 用 HRA 权限 配置 NAP CA、 配置 HRA 的 属性 、 
1. 添加 HRA 到 IPSec NAP 安全 组 


HRA 计算 机 账户 必须 
与 安全 网 络 中 的 计算 机 通信 。 


安装 计算 机 证 书 、 
为 RADIUS 代理 在 HRA 上 配置 NPS 服务 和 为 SSL 配置 IIS。 


是 IPSec NAP 安全 组 中 的 成 员 ， 以 保证 其 立即 拥有 
添加 HRA 计算 机 账户 到 IPSec NAP 安全 组 中 的 步骤 如 下 。 


ETEEEREIEEETITTG 


Xa8 盏 | 
生动 主 骨 局 户 和 计算 机 还 书 


G2 


7 红包 更新 直下 书 开 如 拯 征 衣 的 让 下) 


BR i 


加 


ss 


了 六 关于 EE 过 可 多 信息 


LL 


了 zj 


FE 可 


一 咒 | sw | 


图 14-16 


“证 书 服务 客户 端 -自动 


注册 属性 ”对 话 框 


配置 网 络 策 


-个 长 期 的 健康 证 书 ， 


略 和 访问 服务 角色 、 


允许 其 


@ 在 “活动 目录 用 户 和 计算 机 ”窗口 中 , 双击 IPSecNAP 安全 组 的 名 称 , 显示 如 图 14-17 所 示 的 “IPSec 


属性 ”对 话 框 。 
加 切换 到 “成 员 ” 选 项 卡 ， 单 击 “ 添 加 ” 
单 击 “对 象 类 型 ”按钮 ， 
图 单 击 “ 确 定 ”按钮 ， 返 回 “ 选 择 用 户 、 
文本 框 中 ， 输 入 HRA 计算 机 的 名 称 ， 
@ 连续 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


联系 人 


2. 使 用 HRA 权限 配置 NAP CA 


NAP CA 必须 配置 允许 HRA 组 件 请 求证 书 的 权限 ，HRA 计算 机 也 可 以 被 授予 管理 CA 的 权限 ， 


其 可 以 从 NAP CA 证 书 数据 库 中 自动 删除 过 期 的 证 书 。 
@ 在 “证 书 颁 发 机 构 ” 管 理 单元 ， 右 击 NAP CA 的 名 称 ， 


按钮 ， 显 示 “ 选 择 用 户 、 
显示 如 图 14-18 所 示 的 “对 象 类 型 ”对 话 框 。 选 
、 计 算 机 或 组 ”对 话 框 。 
单 击 “ 检 查 对 象 ”按钮 ， 检 查 输入 的 计算 机 是 否 正确 。 


联系 人 


在 弹出 的 快捷 菜单 中 


、 计 算 机 或 组 ”对 话 框 。 
中 “计算 机 ” 复 选 框 。 
在 “输入 对 象 名 称 来 选择 ” 


以 保证 
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打开 “coolpen-LXH-CA 属性 ”对 话 框 ， 并 切换 到 “安全 ”选项 卡 。 


图 14-17 “IPSec 属性 ”对 话 框 图 14-18 “对 象 类 型 ”对 话 框 


@ 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 、 计 算 机 或 组 ”对 话 框 。 单 击 “ 对 象 类 型 ”按钮 ， 显 示 如 
图 14-19 所 示 的 “对 象 类 型 ”对 话 框 。 选 中 “计算 机 ” 复 选 框 。 
图 单 击 “ 确 定 ” 按 钮 ， 返 回 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 。 在 “输入 对 象 名 称 来 选择 ”文本 框 
中 ， 输 入 HRA 计算 机 的 名 称 ， 单 击 “ 检 查 对 象 ”按钮 ， 检 查 输入 的 计算 机 名 是 否 正 确 。 
图 单 击 “ 确 定 ” 按 钮 ,返回 “安全 ”选项 卡 。 在 “组 或 用 户 名 ”列表 框 中 ,选择 HRA 计算 机 的 名 称 ， 
然后 在 权限 列表 框 中 选中 “请 求证 书 ” 和 “颁发 和 管理 证 书 ” 复 选 框 。 如 果 使 用 自动 CA 数据 库 
管理 ， 则 需要 选中 “管理 CA” 复 选 框 ， 如 图 14-20 所 示 。 


CA 天 性 


图 14-19 “对 象 类 型 ”对 话 框 图 14-20 选择 权限 
回 单 击 “ 确 定 ”按钮 ， 保 存 设置 ， 并 关闭 该 属性 对 话 框 。 
3. 配置 HRA 的 属性 
每 个 HRA 计算 机 必须 使 用 NAP CA 顺序 列表 来 配置 ， 为 NAP 客户 端 请 求 健康 证 书 。 
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@ 选择 “开始 ”一 “运行 ”命令 ,在 “打开 ”文本 框 中 输入 “MMC”， 按 Enter 键 确认 ， 打 开 管 理 
控制 台 窗口 。 依 次 选择 “文件 ”一 “添加 /删除 管理 单元 ”命令 ， 显 示 如 图 14-21 所 示 的 “添加 或 
删除 管理 单元 ”对 话 框 。 在 “可 用 的 管理 单元 ”列表 框 中 ， 选 择 “健康 注册 机 构 ” 选 项 。 

回 单 击 “ 添 加 ”按钮 ， 显 示 如 图 14-22 所 示 的 “健康 注册 机 构 ” 对 话 框 。 根 据 需要 选择 所 要 的 选项 ， 
这 里 选择 “本 地 计算 机 ” 单 选 按钮 。 


图 14-21 “添加 或 删除 管理 单元 ”对 话 框 图 14-22 “健康 注册 机 构 ” 对 话 框 


@ 单 击 “确定 ”按钮 ， 确 认 并 返回 “添加 或 删除 管理 单元 ”对 话 框 。 青 次 单 击 “ 确 定 ” 按 钮 ， 返 回 
管理 控制 台 窗 口 ， 如 图 14-23 所 示 。 在 左 侧 栏 中 ， 展 开 “ 健 康 注册 机 构 ” 节 点 ， 在 中 间 栏 中 选择 
所 要 配置 的 证 书 颁发 机 构 。 

图 在 右 侧 栏 中 ， 单 击 “ 必 性” 按钮， 显示 如 图 14-24 所 示 的 “证 书 颁发 机 构 属性 ”对 话 框 。 在 “ 设 
置 ” 选 项 卡 中 ， 指 定 适当 的 设置 如 HRA 要 求 的 健康 证 书 的 有 效 时 间 ， 以 及 HRA 是 否 使 用 独立 或 


ETTI3 


图 14-23 “健康 注册 机 构 ” 管 理 单元 图 14-24 “证 书 颁发 机 构 属性 ”对 话 框 
回 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 
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4. 作为 RADIUS 代理 在 HRA 上 配置 NPS 服务 


如 果 NAP 健康 策略 服务 器 与 HRA 计算 机 位 于 不 同 的 服务 器 上 , 则 必须 在 HRA 计算 机 上 配置 NPS 服务 
作为 RADIUS 代理 。 人 允许 HRA 计算 机 作为 RADIUS 客户 端 ,将 基于 RADIUS 的 请 求 发 送 到 NAP 健康 策略 服 


务 器 。 


14.1.3 配置 NAP 健康 策略 服务 器 


为 了 配置 NAP 健康 策略 服务 器 ， 需 要 执行 如 下 操作 : 


添加 网 络 策略 和 访问 服务 角色 。 
安装 SHV。 

配置 RADIUS 服务 器 设置 。 

为 IPSec 强制 配置 健康 要 求 策略 。 


1. 配置 RADIUS 服务 器 设置 
每 个 NAP 健康 策略 服务 器 都 是 一 个 RADIUS 服务 ， 可 能 需要 进行 如 下 RADIUS 服务 器 的 设置 。 


RADIUS 通讯 的 UDP 端口 : 通常 只 有 在 NAP 健康 策略 服务 也 作为 RADIUS 服务 器 使 用 ， 并 且 其 他 
RADIUS 客户 端 使 用 与 RFC 定义 的 不 同 的 端口 时 ， 才 需要 该 步骤 。NAP 健康 策略 服务 器 所 使 用 的 
默认 端口 与 HRA 使 用 的 端口 相同 。 

RADIUS 日 志 : 用 户 可 以 在 本 地 文件 或 SQL 数据 库 服务 器 中 配置 NPS 服务 来 记录 入 站 请 求 和 记 账 
信息 。 


需要 注意 的 是 ， 必 须 使 用 HRA 配置 每 个 NAP 健康 策略 服务 器 作为 RADIUS 客户 端 。 


© 


在 “网 络 策略 服务 器 ”管理 单元 中 ， 展 开 “RADIUS 客户 端 和 服务 器 ”节点 ， 右 击 “RADIUS 客户 
端 ?并 在 弹出 的 快捷 菜单 中 选择 新建 RADIUS 客户 端 ”命令 , 显示 如 图 14-25 所 示 的 “新 建 RADIUS 
客户 端 ” 对 话 框 。 

在 “友好 名 称 ” 文 本 框 中 ， 输 入 HRA 计算 机 的 名 称 。 在 “地 址 (IP 或 DNS)” 文 本 框 中 ， 输 入 HRA 
计算 机 的 IPv4 地 址 、IPv6 地 址 或 DNS 域名 称 。 如 果 输 入 DNS 域名 称 ， 需 要 单 击 “ 验 证 ”按钮 来 
解析 名 称 为 IP 地 址 。 


图 在 “共享 机 密 ” 选 项 区 域 的 “共享 机 密 ” 和 “确认 共享 机 密 ” 文 本 框 中 ， 输 入 NPS 服务 器 和 HRA 


@ 
© 


计算 机 联合 的 共享 机 密 ， 或 者 选择 “生成 ” 单 选 按钮 使 NPS 服务 生成 一 个 RADIUS 共享 机 密 。 
选中 “RADIUS 客户 端 支持 NAP” 复 选 框 。 

单 击 “ 确 定 ” 按 钮 ， 确 认 并 保存 设置 。 为 每 个 HRA 重复 以 上 步骤 ， 发 送 健康 评估 请 求 到 NAP 健 
康 策略 服务 器 。 


2. 为 IPSec 强制 配置 健康 要 求 策 略 

创建 健康 要 求 策略 ， 可 以 通过 手动 和 “配置 NAP 向 导 ” 两 种 方式 完成 ， 具 体 创建 操作 参见 前 面相 关内 
容 ， 这 里 不 青 袭 述 。 因 为 NAP 客户 端的 默认 网 络 策略 模式 为 只 允许 受 限 访问 (强制 方法 ] 模 式 ， 因 此 ， 必 须 
为 不 符合 的 NAP 客户 端的 完全 访问 修改 网 络 策略 。 


O 
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在 “网 络 策略 服务 器 ”管理 单元 中 ， 展 开 “ 策 略 ” 节 点 ， 选 择 “ 网 络 策略 ”选项 。 如 果 在 “选择 
与 NAP 一 起 使 用 的 网 络 连接 方法 ”中 使 用 IPSec 作为 名 称 , 那么 不 符合 的 NAP 客户 端的 网 络 策略 


第 14 章 NAP 应 用 技术 


名 称 就 是 IPSec 不 符合 ， 如 图 14-26 所 示 。 


图 14-25 “新 建 RADIUS 客户 端 ” 对 话 框 图 14-26 “网 络 策略 服务 器 ”对 话 框 


@ 双击 NAP 向 导 为 不 符合 的 NAP 客户 端 创建 的 网 络 策略 , 打开 “NAP 具有 HRA 的 IPSec 不 符合 属 
性 ”对 话 框 ， 切 换 至 “设置 ”选项 卡 ， 选 择 “NAP 强制 ”， 如 图 14-27 所 示 。 在 右 侧 栏 中 ， 选 择 
“允许 完全 网 络 访问 ” 单 选 按钮 。 

@ 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 


3. 配置 SHV 


名 在 “网 络 策略 服务 器 ”管理 单元 中 ， 依 次 展开 “网 络 访问 保护 ”一 “系统 健康 验证 器 ”节点 ， 在 
右 侧 栏 中 ， 双 击 SHV， 然 后 配置 每 个 SHV 的 系统 健康 要 求 。 例 如 ， 双 击 “Windows 安全 健康 验 
证 程序 ”， 显 示 如 图 14-28 所 示 的 “Windows 安全 健康 验证 程序 属性 ”对 话 框 。 


站。 对 报告 异 式 傈 
外 评 在 有 了 HPJ33 和 机 生 完 爹 态 避 加 
i 
加 。 aam 
不 再 后 标 ,这 上 训 口 允许 谢 5 限 R 给 以 进行 重新 。 
更新 基 务 关 组 和 居于 冰 和 L 一 
汶 要 配 千 更 新 用 分 避 与 、 征 淮 解 守 Wh 或 月 近 叶 二 声 ， 调 兰 击 “ 环 桂 ” 


部 入 新 
友和 这 计划 和 :里 阐 和 D 
新 趟 症 二 芝 隆 所 二 xX 从 要 于 于 机， 


图 14-27 “NAP 具有 HRA 的 IPSec 不 符合 属性 ”对 话 框 图 14-28 “Windows 安全 健康 验证 
程序 属性 ”对 话 框 
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回 单 击 “ 配 置 ”按钮 ， 显 示 如 图 14-29 所 示 的 “Windows 安全 健康 验证 程序 ”对 话 框 ， 根 据 需要 配 
置 基于 Windows Vista 和 Windows XP 的 系统 健康 要 求 即 可 。 


图 14-29 “Windows 安全 健康 验证 程序 ”对 话 框 


提示 : 确保 健康 策略 配置 了 正确 的 SHV， 以 及 影响 健康 要 求 的 条 件 ， 还 可 以 对 健康 策略 中 的 每 个 条 件 进 
行 选择 。 


@ 配置 完成 后 ， 单 击 “ 确 定 ” 按 钮 ， 保 存 设 置 。 


14.1.4 配置 NAP 客户 端 


为 了 配置 NAP 客户 端 ， 需 要 执行 如 下 任务 : 

“通过 组 策略 配置 NAP 客户 端 。 

”配置 HRA 的 DNS 发 现 (根据 需要 ]。 

于 ”添加 NAP 客户 端 到 安全 网 络 。 

1. 通过 组 策略 配置 NAP 客户 端 

尽管 可 以 单独 配置 NAP 客户 端 ， 但 是 在 活动 目录 域 环境 中 ， 建 议 使 用 集中 配置 NAP 客户 端的 方式 。 

通常 情况 下 是 通过 组 策略 设置 ， 主 要 包括 如 下 任务 : 

me 配置 NAP 客户 端 设 置 。 

和 ”启用 Windows 安全 中 心 。 

”配置 网 络 访问 保护 代理 服务 的 自动 启用 。 

(GD 配置 NAP 客户 端的 设置 

@ 在 “组 策略 管理 器 ”管理 单元 中 ， 依 次 展开 “ 林 ” 一 “ 域 ” 节 点 。 在 “链接 的 组 策略 对 象 ”面板 
中 , 右 击 组 策略 对 象 (默认 对 象 是 Default Domain Policy), 在 弹出 的 快捷 菜单 中 选择 “编辑 ”选项 ， 
打开 “组 策略 管理 编辑 器 ”窗口 。 

@ 依次 展开 “计算 机 配置 "一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 Network Access Protection 
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一 “NAP 客户 端 配置 ”一 “强制 客户 端 ” 节 点 ， 如 图 14-30 所 示 。 
图 在 右 侧 栏 中 ， 双 击 “IPSec 信赖 方 ”强制 客户 端 ， 显 示 如 图 14-31 所 示 的 “IPSec 信赖 方 属性 ” 
对 话 框 ， 选 中 “启用 此 强制 客户 端 ” 复 选 框 ， 


图 14-30 展开 “强制 客户 端 ” 图 14-31 “IPSec 信赖 方 属性 ”对 话 框 


图 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 
@ ”如果 使 用 受信 任 的 服务 器 组 作为 NAP 客户 端 查 找 HRA 的 方法 ， 则 可 在 控制 台中 展开 “健康 注册 
设置 ”节点 ， 如 图 14-32 所 示 。 


图 14-32 展开 “健康 注册 设置 ” 


添加 受信 任 服务 器 组 。 右 击 “ 受 信任 服务 器 组 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 ”命令 ， 显 示 
如 图 14-33 所 示 的 “组 名 ”对 话 框 。 在 “组 名 ”文本 框 中 ， 输 入 组 的 名 称 。 

@ 单 击 “下 一 步 ” 按 钮 ， 显 示 如 图 14-34 所 示 的 “添加 服务 器 ”界面 。 根 据 需要 在 “添加 您 希望 客 
户 端 信任 的 注册 机 构 的 URL(L)” 文 本 框 中 ， 输 入 为 应 用 组 策略 对 象 的 NAP 客户 端 所 使 用 的 HRA 
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URL。 
于 ”为 使 用 SSL 的 HTTP 认证 健康 证 书 ，URL 必须 采用 如 下 形式 : 
https://HRA_FQDN/domainhra/hcsrvext.dll( 其 中 HRA_FQDN 为 HRA 计算 机 的 FQDN) 
”为 认证 使 用 HTTP 的 健康 证 书 ，URL 必须 采用 如 下 形式 : 
http://HRA FQDN/domainhra/hcsrvext.dll 
和 ”为 认证 使 用 通过 SSL 的 HTTP 的 匿名 健康 证 书 ，URL 必须 采用 如 下 形式 : 
https://HRA_FQDN/nondomainhra/hcsrvext.dll 
”为 认证 使 用 HTTP 的 匿名 健康 证 书 ，URL 必须 采用 如 下 形式 : 


http://HRA FQDN/nondomainhra/hcsrvext.dll 


图 14-33 “组 名 ”对 话 框 图 14-34 “添加 服务 器 ”界面 


如 果 想 要 所 有 URL 都 基于 SSL， 则 需要 选中 “要 求 对 此 组 中 的 所 有 服务 器 进行 服务 器 验证 (https]” 复 
选 框 。 如 果 有 任意 一 个 URL 不 是 基于 SSL 的 ， 则 取消 选中 “要 求 对 此 组 中 的 所 有 服务 器 进行 服务 器 验证 
(https]” 复 选 框 即 可 。 如 图 14-35 所 示 为 当 所 有 URL 都 是 基于 SSL 的 实例 。 

验证 列表 中 的 所 有 URL 是 否 按照 正确 的 顺序 ， 如 不 正确 ， 可 以 单 击 “ 上 移 ”、“ 下 移 ” 按 钮 来 

更 正 。 
单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 14-36 所 示 的 “正在 完成 新 建 受信 任 的 服务 器 组 向 导 ” 界 面 。 


图 14-35 配置 基于 SSL 的 URL 的 实例 图 14-36 “正在 完成 新 建 受 信任 的 服务 器 组 向 导 ” 界 面 
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单 击 “ 完 成 ”按钮 ， 完 成 添加 受信 任 服务 器 组 的 操作 。 
(2) 启用 Windows 安全 中 心 
为 了 使 用 组 策略 启用 NAP 客户 端 上 的 Windows 安全 中 心 ， 可 按 如 下 步骤 操作 。 


在 “组 策略 管理 编辑 器 ”管理 单元 中 , 依次 展开 “计算 机 配置 ”一 “策略 ”一 “管理 模板 ”一 “Windows 
组 件 ” 一 “安全 中 心 ” 节 点 ， 如 图 14-37 所 示 。 双 击 “ 启 用 安全 中 心 ( 仅 限 域 PC)”， 显 示 “ 启 用 安全 中 心 
( 仅 限 域 PC 属性 ”对 话 框 ， 选 择 “ 已 启用 ” 单 选 按钮 。 最 后 ， 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 即 可 。 


EEE ”oly 


图 14-37 “安全 中 心 ”窗口 


(3] 配置 网 络 访问 保护 代理 服务 的 自动 启用 
在 “组 策略 管理 编辑 器 ”管理 单元 中 ,依次 展开 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “ 安 
全 设置 ”一 “系统 服务 ”节点 。 在 详细 面板 中 , 双击 Network Access Protection Agent 选项 , 显示 如 图 14-38 
所 示 的 “Network Access Protection Agent 属性 ”对 话 框 。 选 中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 选择 “ 自 
动 ” 单 选 按 钮 。 
单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 
2. 配置 HRA 的 DNS 发 现 
当 使 用 组 策略 设置 NAP 客户 端 时 ， 为 了 使 用 DNS SRV 记录 来 配置 NAP 客户 端 发 现 HRA， 需 要 进行 如 
下 操作 。 
@ 从 NAP 客户 端 组 策略 设置 中 删除 所 有 已 有 受信 任 服务 器 组 的 配置 。 如 果 这 些 设置 存在 ，NAP 客户 
端 将 不 会 使 用 DNS SRV 记录 来 尝试 发 现 HRA。 
@ 在 NAP 客户 端 计算 机 上 ， 创 建 和 设置 HKLM\SOFTWARE\Policies\Microsoft\NetworkAccess- 
Protection\ClientConfig\Enroll\HcsGroups\EnableDiscovery 的 值 为 1。 


3. 添加 NAP 客户 端 到 安全 网 络 


如 果 用 户 没有 使 用 计算 机 OU 作为 安全 网 络 0U， 则 使 用 “活动 目录 用 户 和 计算 机 ”管理 单元 将 NAP 
客户 端的 计算 机 账户 放置 在 安全 网 络 0U 或 安全 组 中 。 
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图 14-38 “Network Access Protection Agent 属性 ”对 话 框 


14.1.5 配置 和 应 用 IPSec 策略 


在 验证 了 NAP 客户 端 收 到 短期 的 健康 证 书 和 更 新 服务 器 收 到 长 期 的 健康 证 书后 , 即 可 开始 配置 和 应 用 
IPSec 策略 到 边界 和 安全 网 络 中 的 计算 机 上 。 这 需要 执行 如 下 操作 。 
为 边界 网 络 配置 和 应 用 IPSec 策略 设置 。 
测试 清空 文本 和 与 边界 网 络 计算 机 的 受 保护 的 通信 。 
为 安全 网 络 中 的 部 分 计算 机 配置 和 应 用 IPSec 策略 设置 。 
测试 清空 文本 和 与 安全 网 络 计算 机 的 受 保护 的 通信 。 
为 延期 强制 模式 下 的 不 符合 的 NAP 客户 端 配置 网 络 策略 。 
为 安全 网 络 中 所 有 的 计算 机 配置 和 应 用 IPSec 策略 。 
为 强制 模式 下 的 不 符合 的 NAP 客户 端 配置 网 络 策略 。 


1. 为 边界 网 络 配置 和 应 用 IPSec 策略 设置 


在 这 里 需要 创建 包含 IPSec 策略 设置 的 GPO， 请 求 为 边界 网 络 计 算 机 的 入 站 和 出 站 通信 进行 IPSec 
保护 。 

Q@ 在 Windows Server 2008 域 控制 器 上 , 打开 指定 GPO 的 “组 策略 管理 编辑 器 ”窗口 , 依次 展开 “ 计 
算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “高 级 安全 Windows 防火 墙 ” 一 
“高 级 安全 Windows 防火 墙 -LDAP” 节 点 ， 如 图 14-39 所 示 。 

回 右 击 “ 高 级 安全 Windows 防火 墙 -LDAP”, 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 显示 如 图 14-40 
所 示 的 “高 级 安全 Windows 防火 墙 -LDAP” 属 性 对 话 框 。 在 “ 域 配置 文件 ”选项 卡 的 “防火 墙 状 
态 ” 下 拉 列 表 中 选择 “启用 (推荐 )” 选 项 ， 在 “入 站 连接 ”下 拉 列 表 框 中 选择 “阻止 (默认 值 )” 选 
项 ， 在 “出 站 连接 ”下 拉 列 表 中 选择 “允许 (默认 值 ] ”选项 。 


QA@QE@OO 


© 注意 ， “专用 配置 文件 ”和 “公用 配置 文件 ”选项 卡 中 的 设置 ， 与 “ 域 配置 文件 ”相同 ， 此 处 不 复 商 述 。 
回 单 击 “确定 ”按钮 ， 保 存 配置 。 
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图 14-40 “高 级 安全 Windows 防火 墙 
图 14-39 展开 “高 级 安全 Windows 防火 墙 -LDAP” -LDAP” 属 性 对 话 框 
图 在 “高 级 安全 Windows 防火 墙 -LDAP” 节 点 中 ， 右 击 “ 连 接 安 全 规则 ”并 在 弹出 的 快捷 菜单 中 选 
择 “ 新 规则 ”命令 ， 显 示 “ 规 则 类 型 ”对 话 框 ， 选 择 “ 隔 离 ” 单 选 按钮 。 单 击 “下 一 步 ” 按 钮 ， 
显示 如 图 14-41 所 示 的 “要 求 ”界面 ， 选 择 “ 入 站 和 出 站 连接 请 求 身 份 验证 ” 单 选 按钮 。 


图 14-41 “要 求 ”界面 


回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 14-42 所 示 的 “身份 验证 方法 ”界面 。 选 择 “ 计 算 机 证 书 ” 单 选 
按钮 ， 然 后 单 击 “ 浏 览 ”按钮 ， 查 看 并 选择 所 使 用 的 证 书 ， 并 选中 “只 接受 健康 证 书 ” 复 选 框 。 
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轿 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 14-43 所 示 的 “配置 文件 ”界面 。 选 中 “ 域 ”、“ 专 用 ”和 “ 公 


图 14-42 “身份 验证 方法 ”界面 图 14-43 “配置 文件 ” 界面 


@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 14-44 所 示 的 “名 称 ” 界 面 。 在 “名 称 ” 文 本 框 中 ， 输 入 该 规则 
的 名 称 。 在 “描述 ”文本 框 中 ， 输 入 该 规则 的 描述 信息 。 


图 14-44 “名 称 ” 界 面 


单 击 “ 完 成 ”按钮 ， 完 成 新 规则 的 配置 。 在 创建 完 边界 网 络 GPO 后 ， 需 要 将 其 应 用 于 边界 网 络 
OU 或 安全 组 。 


2. 测试 与 边界 网 络 计算 机 的 通信 


在 应 用 边界 网 络 GPO 到 边界 网 络 安全 组 或 0U 后 ， 需 要 完成 如 下 工作 : 


于 确保 边界 网 络 中 的 更 新 服务 器 能 够 收 到 边界 网 络 GPO 设置 , 并且 拥 有 为 入 站 和 出 站 通讯 请 求 IPSec 
保护 的 连接 安全 规则 。 
里 “如 果 更 新 服务 器 可 以 收 到 边界 网 络 GPO 的 设置 ， 确 保 更 新 服务 器 可 以 建立 与 NAP 客户 端 和 非 域 
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成 员 计算 机 的 通信 ， 并 且 NAP 客户 端 和 非 域 成 员 计算 机 可 以 建立 与 更 新 服务 器 的 通信 。 
在 该 阶段 的 NAP 客户 端 、 非 域 成 员 计 算 机 和 更 新 服务 器 之 间 的 通信 应 该 清除 文本 。 更 新 服务 器 上 的 
IPSec 策略 将 会 尝试 越过 IPSec 保护 ， 但 是 允许 回 退 清除 入 站 和 出 站 通信 尝试 。 


3. 为 安全 网 络 中 部 分 计算 机 配置 和 应 用 IPSec 策略 设置 


在 应 用 安全 网 络 GPO 到 所 有 域 成 员 计算 机 之 前 ， 用 户 应 该 在 部 分 域 成 员 计 算 机 上 测试 安全 网 络 GPO， 
并 且 记录 通信 动作 。 可 以 使 用 如 下 方式 实现 : 

里“ 包含 测试 计算 机 的 安全 测试 网 络 0U。 在 这 种 情况 下 ， 用 户 可 以 直接 应 用 安全 网 络 GPO 到 安全 测 
试 网 络 OU 上 ， 而 不 会 影响 到 其 他 计算 机 。 

”包含 测试 计算 机 的 安全 测试 网 络 安全 组 .在 这 种 情况 下 , 用 户 必须 为 安全 测试 网 络 安全 组 筛选 GPO 
的 作用 域 ,应 用 安全 网 络 GPO 到 安全 网 络 OU 上 。 因 为 作用 域 的 筛选 ， 安 全 网 络 GPO 将 只 会 应 用 
于 安全 测试 网 络 安全 组 的 成 员 上 。 

这 里 创建 包括 IPSec 策略 设置 的 GPO， 为 安全 网 络 计算 机 的 入 站 和 出 站 通信 尝试 提供 IPSec 保护 。 

@ 在 安装 了 组 策略 管理 器 的 Windows Server 2008 计算 机 上 , 打开 MMC 管理 控制 台 , 依次 选择 “ 开 
始 ” 一 “添加 /删除 管理 单元 ”命令 ,显示 “添加 或 删除 管理 单元 ”对 话 框 。 在 “可 用 的 管理 单元 ” 
列表 框 中 ， 选 择 “ 组 策略 管理 编辑 器 ”选项 。 

@ 单 击 “ 添 加 ”按钮 ， 显 示 “ 浏 览 组 策略 对 象 ”对 话 框 。 单 击 “ 浏 览 ” 按 钮 ， 查 看 并 选择 所 要 编辑 
的 组 策略 ， 如 图 14-45 所 示 。 单 击 “ 创 建新 的 组 策略 对 象 ”按钮 ， 输 入 安全 网 络 的 新 的 组 策略 对 
象 的 名 称 。 

回 单 击 “确定 ”按钮 ， 返 回 “ 选 择 组 策略 对 象 ”对 话 
框 。 单 击 “ 完 成 ”按钮 ， 返 回 “ 添 加 或 删除 管理 单 
元 ”对 话 框 。 再 次 单 击 “ 确 定 ”按钮 ， 完 成 管理 单 
元 的 添加 。 

@ 在 控制 台中 ， 展 开 “ 计 算 机 配置 ”一 “策略 ”一 

“Windows 设置 ”一 “安全 设置 ”一 “高 级 安全 
Windows 防火 墙 ” 一 “高 级 安全 Windows 防火 墙 
-LDAP” 节 点 。 右 击 “ 高 级 安全 Windows 防火 墙 
-LDAP”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 图 1445 “浏览 组 策略 对 象 ”对 话 框 
打开 “高 级 安全 Windows 防火 墙 -LDAP” 对 话 框 。 在 “ 域 配置 文件 ”选项 卡 中 ， 在 “防火 墙 状态 ” 
下 拉 列 表 框 中 选择 “启用 (推荐 ] ”选项 , 在 “入 站 连接 ”下 拉 列 表 框 中 选择 “阻止 (默认 值 ] ”选项 ， 
在 “出 站 连接 ”下 拉 列 表 框 中 选择 “允许 (默认 值 )” 选 项 。 
回 切换 到 “ 专 有 配置 文件 ”选项 卡 ， 在 “防火 墙 状 态 ” 下 拉 列 表 框 中 选择 “启用 (推荐 ]” 选 项， 在 
“入 站 连接 ”下 拉 列 表 框 中 选择 “阻止 (默认 值 ]” 选 项 ， 在 “出 站 连接 ”下 拉 列 表 框 中 选择 “人 允 
许 (默认 值 ]” 选 项 。 
切换 到 “公用 配置 文件 ”选项 卡 ， 在 “防火 墙 状态 ”下 拉 列 表 框 中 选择 “启用 (推荐 ]” 选 项， 在 
“入 站 连接 ”下 拉 列 表 框 中 选择 “阻止 (默认 值 ])” 选 项， 在 “出 站 连接 ”下 拉 列 表 框 中 选择 “ 允 
许 (默认 值 ]” 选 项 。 
单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 
在 “高 级 安全 Windows 防火 墙 -LDAP” 中 , 右 击 “连接 安全 规则 ”, 在 弹出 的 快捷 菜单 中 选择 “新 
规则 ”命令 ， 打 开 “ 规 则 类 型 ”对 话 框 ， 选 择 “隔离 ” 单 选 按钮 。 
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回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 14-46 所 示 的 “要 求 ”界面 ， 选 择 “ 入 站 连接 要 求 身份 验证 ， 出 
站 连接 请 求 身份 验证 ” 单 选 按钮 。 


< 上 se- aa | 
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图 14-46 “要 求 ”界面 


单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 身 份 验证 方法 ”对 话 框 。 选 择 “ 计 算 机 证 书 ” 单 选 按钮 ， 并 选中 “只 

接受 健康 证 书 ” 复 选 框 ， 然 后 单 击 “ 浏 览 ” 按 钮 ， 查 看 并 选择 证 书 。 

四 单 击 “ 下 一 步 ” 按 钮 ， 打开 “配置 文件 ”对 话 框 ， 同 时 选中 “ 域 ”、“ 专 用 ”和 “公用 ” 复 选 框 。 

中 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 名 称 ”对 话 框 。 在 “名 称 ” 文 本 框 中 ， 输 入 该 规则 的 名 称 。 在 “ 描 

述 ” 文 本 框 中 ， 输 入 该 规则 的 描述 信息 。 

对 于 运行 Windows XP SP3 的 NAP 客户 端 ， 必 须 使 用 “组 策略 编辑 器 ”管理 单元 和 活动 目录 中 的 “IP 
安全 策略 ”中 的 “计算 机 配置 \ 策 略 \Windows 设置 \ 安 全 设置 ” 来 配置 和 启用 同等 的 IPSec 策略 。 另 外 ， 还 
必须 设置 HKLMNSYSTEMNCurrentControlSet\ServicesN\PolicyAgent\OakleyNIKEFlags 的 注册 表 值 为 0xlc。 

4. 测试 清除 文本 与 安全 网 络 部 分 计算 机 的 受 保护 的 通信 

在 配置 完 安全 网 络 GPO， 并 将 其 应 用 到 安全 测试 网 络 0U 或 安全 组 后 ， 还 必须 测试 如 下 类 型 的 通信 : 

时。 确保 安全 网 络 中 的 计算 机 能 够 收 到 安全 网 络 GPO 设置 ， 并 且 拥 有 入 站 要 求 IPSec 保护 和 出 站 请 求 

IPSec 保护 的 连接 安全 规则 。 例 如 ， 可 以 使 用 安全 网 络 计算 机 上 的 “高 级 安全 Windows 防火 墙 ” 
管理 单元 中 的 “监视 器 ”节点 。 

于 “如果 安 全 网 络 的 计算 机 可 以 收 到 安全 网 络 GPO 的 设置 ， 需 确保 如 下 通信 动作 。 

。 阻止 从 非 实 全 测试 网 络 的 计算 机 到 安全 测试 网 络 计算 机 的 通信 。 
e ”保护 从 安全 测试 网 络 中 的 计算 机 到 另 一 个 安全 测试 网 络 计算 机 的 通信 。 
。 允许 从 安全 测试 网 络 计算 机 到 非 安全 测试 网 络 计算 机 的 通信 ， 但 是 不 被 保护 。 

该 阶段 的 安全 测试 网 络 计算 机 到 所 有 非 安全 测试 网 络 的 计算 机 通信 应 该 被 清除 文本 。 安 全 测试 网 络 计 
算 机 的 IPSec 策略 将 会 尝试 越过 IPSec 保护 ， 但 是 会 允许 回 退 清除 入 站 和 出 站 通信 尝试 。 

5. 为 延期 强制 下 的 不 符合 的 NAP 客户 端 配置 网 络 策略 

在 测试 完 边界 和 安全 测试 网 络 的 通信 后 , 可 以 为 延期 强制 模式 确定 日 期 。 在 该 时 间 段 内 , 不 符合 的 NAP 
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客户 端 不 会 收 到 健康 证 书 ， 不 能 建立 与 符合 的 NAP 客户 端的 通信 。 在 延期 强制 模式 下 ， 不 符合 的 NAP 客 
户 端 仍 会 收 到 健康 证 书 ， 但 是 用 户 会 收 到 一 条 信息 ， 指 示 计 算 机 不 能 按照 系统 健康 要 求 进 行动 作 。 
@ 在 “网 络 策略 服务 器 ”管理 单元 中 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 
@ 在 右 侧 栏 中 ， 双 击 NAP 向 导 创建 的 不 符合 的 NAP 客户 端的 网 络 策略 ， 打 开 策略 属性 对 话 框 。 切 
换 到 “设置 ”选项 卡 ， 然 后 选择 “NAP 强制 ”， 如 图 14-47 所 示 。 在 右 侧 栏 中 ， 选 择 “ 人 允许 在 有 


限时 间 内 对 网 络 执行 完全 访问 ” 单 选 按钮 ， 指 定 NAP 健康 策略 服务 器 上 配置 的 强制 模式 的 日 期 和 
时 间 。 


设置 加) 
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图 14-47 “设置 ”选项 卡 
回 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 对 网 络 中 每 个 NAP 健康 策略 服务 器 ， 都 需要 执行 这 些 操作 。 
6. 为 安全 网 络 中 所 有 计算 机 配置 IPSec 策略 设置 


在 测试 和 验证 完 安全 测试 网 络 中 的 入 站 和 出 站 通信 后 ， 即 可 应 用 安全 网 络 GPO 到 安全 网 络 所 有 计算 机 
上 。 为 了 应 用 安全 网 络 GPO 到 包含 所 有 域 成 员 NAP 客户 端的 安全 网 络 OU 或 组 ， 并 且 保 证 安全 测试 网 络 
0U 或 组 中 的 计算 机 得 到 适当 的 移植 ， 具 体 可 通过 如 下 方法 实现 : 
时 如果 使 用 安全 测试 网 络 OU 和 包括 所 有 域 成 员 NAP 客户 端的 安全 网 络 0U， 则 需要 应 用 安全 网 络 
GPO 到 安全 网 络 0U， 并 且 将 安全 测试 网 络 0U 中 的 计算 机 移植 到 安全 网 络 OU 中 。 
里 如果 使 用 安全 测试 网 络 OU 和 包含 所 有 域 成 员 NAP 客户 端的 安全 网 络 安全 组 ， 则 需 应 用 安全 网 络 
GPO 到 安全 网 络 0U 中 ， 并 且 确 保安 全 测试 网 络 0U 中 的 计算 机 是 安全 网 络 OU 中 的 成 员 。 
如 果 使 用 安全 测试 网 络 安全 组 和 包含 所 有 域 成 员 NAP 客户 端的 安全 网 络 0U， 则 需 应 用 安全 网 络 
GPO 到 安全 网 络 0U 中 ， 并 且 确 保安 全 测试 网 络 安全 组 中 的 计算 机 是 安全 网 络 0U 的 成 员 。 
如 果 使 用 安全 测试 网 络 安全 组 和 包含 所 有 域 成 员 NAP 客户 端的 安全 网 络 安全 组 , 则 应 更 改 安全 网 
络 GPO 的 作用 域 筛 选 ， 保 证 其 应 用 于 安全 网 络 安全 组 中 ， 并 且 确 保安 全 测试 网 络 安全 组 中 的 计算 
机 是 安全 网 络 安全 组 的 成 员 。 


7. 为 强制 模式 下 的 不 符合 的 NAP 客户 端 配置 网 络 策略 


在 强制 模式 的 日 期 中 ， 配 置 NAP 健康 策略 服务 器 的 强制 模式 的 具体 操作 步骤 如 下 。 
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@ 在 “网 络 策略 服务 器 ”管理 单元 中 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 
@ 在 右 侧 栏 中 ， 双 击 不 符合 的 NAP 客户 端的 网 络 策略 ， 打 开 策 略 属性 对 话 框 。 切 换 到 “设置 ”选项 
卡 ， 然 后 选择 “NAP 强制 ”， 并 选择 “人 允许 在 有 限时 间 内 对 网 络 执行 完全 访问 ” 单 选 按钮 。 
@ 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 
至 此 ，IPSec 强制 的 配置 已 经 完成 ， 不 符合 的 NAP 客户 端 将 不 会 收 到 健康 证 书 ， 并 且 安 全 网 络 中 的 计 
算 机 对 入 站 连接 请 求 要 求 IPSec 保护 和 健康 证 书 。 


14.2 配置 802.1X 强制 


配置 802.1X 强制 包括 配置 活动 目录 、 配 置 基于 PEAP 的 身份 验证 方式 、 配 置 802.1X 访问 点 、 配 置 受 
限 网 络 的 更 新 服务 器 、 配 置 NAP 健康 策略 服务 器 和 配置 NAP 客户 端 等 内 容 。 


14.2.1 配置 基于 PEAP 的 身份 验证 方式 


如 果 没 有 为 802.1X 身份 验证 的 无 线 或 有 线 访问 使 用 基于 PEAP 的 身份 验证 方式 , 那么 用 户 必 须 重新 配 
置 访问 客户 端 和 NPS 服务 器 上 的 访问 策略 。 在 Windows Server 2008 和 Windows Vista 中 ， 支 持 如 下 有 线 
身份 验证 的 EAP 身份 验证 方法 : 
m EAP-TLS 
m PEAP-MS-CHAP v2 
m PEAP-TLS 
EAP-TLS 和 PEAP-TLS 可 以 与 PKI 和 计算 机 证 书 、 用 户 证 书 和 智能 卡 联合 使 用 。 使 用 EAP-TLS， 有 线 
客户 端 为 身份 验证 发 送 自 己 的 计算 机 证 书 、 用 户 证 书 或 智能 卡 。 
1. 身份 验证 方法 的 需求 
有 线 身份 验证 方法 的 需求 如 下 : 
”EAP-TLS 需要 在 每 台 RADIUS 服务 器 上 安装 计算 机 证 书 ， 在 所 有 有 线 客户 端 上 安装 计算 机 证 书 、 
用 户 证 书 或 智能 卡 。 为 了 验证 RADIUS 服务 器 上 的 计算 机 证 书 ，RADIUS 服务 器 计算 机 证 书 发 布 
CA 的 根 CA 证 书 必须 安装 在 所 有 有 线 客户 端 计算 机 上 。 为 了 验证 有 线 客户 端的 计算 机 证 书 、 用 户 
证 书 或 智能 卡 ， 有 线 客户 端 证 书 的 发 布 CA 的 根 CA 证 书 必须 安装 在 每 台 RADIUS 服务 器 上 。 

和 ”PEAP-MS-CHAP v2 需要 在 每 台 RADIUS 服务 器 上 安装 计算 机 证 书 ， 并 且 为 了 验证 RADIUS 服务 器 
上 的 计算 机 证 书 ，RADIUS 服务 器 计算 机 证 书 发 布 CA 的 根 CA 证 书 必须 安装 在 所 有 有 线 客 户 端 计 
算 机 上 。 

在 没有 计算 机 证 书 、 用 户 证 书 或 智能 卡 的 情况 下 ， 可 以 使 用 PEAP-MS-CHAP v2。PEAP-MS-CHAP v2 是 
一 种 基于 密码 的 身份 验证 方法 ， 使 用 加 密 的 TLS 会 话 交换 身份 验证 消息 。 加 密 TLS 会 话 的 使 用 使 得 恶意 用 
户 很 难 从 捕获 的 身份 验证 消息 中 获取 密码 。 因 为 EAP-TLS 和 PEAP-TLS 不 依赖 于 密码 ， 所 以 它们 比 
PEAP-MS-CHAP v2 要 安全 得 多 。 


2. 有 线 网 络 (IEEE 802.3) 策 略 组 策略 扩展 
为 了 使 Windows 有 线 客户 端 计算 机 自动 配置 有 线 网 络 设置 , Windows Server 2008 或 Windows Server 
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2003 活动 目录 域 支持 有 线 网 络 (IEEE 802.3) 策 略 组 策略 扩展 。 该 扩展 允许 将 有 线 网 络 设置 ， 作 为 基于 域 的 
组 策略 对 象 的 计算 机 配置 组 策略 的 一 部 分 进行 配置 。 通过 使 用 有 线 网 络 (IEEE 802.3) 策 略 组 策略 扩展 , 可 以 
在 Windows Server 2008 或 Windows Vista 有 线 客户 端 上 ， 指 定 EAP 身份 验证 方法 和 其 他 设置 。 

Q@ ”打开 相应 策略 的 “组 策略 对 象 编辑 器 ”窗口 ， 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “Windows 
设置 "一 “安全 设置 ”一 “有 线 网 络 (IEEE 802.3] 策 略 ” 节 点。 默认 情况 下 , 没有 任何 有 线 网 络 (IEEE 
802.3) 策 略 ， 根 据 需 要 可 以 创建 一 个 新 的 策略 。 右 击 “ 有 线 网 络 (IEEE 802.3) 策 略 ”， 在 弹出 的 快 
捷 菜 单 中 选择 “创建 一 个 新 的 Windows Vista 策略 ”命令 ,显示 如 图 14-48 所 示 的 “新 Vista 有 线 
网 络 策略 Properties ”对话 框 。 

@ 在 “常规 ”选项 卡 中 , 配置 策略 的 名 称 和 描述 , 指定 是 否 启用 有 线 自动 配置 服务 。 切换 到 如 图 14-49 
所 示 的 “安全 ”选项 卡 ， 选 中 “为 网 络 访问 启用 IEEE 802.1X 身份 验证 ” 复 选 框 ， 启 用 802.1X 身 
份 验证 。 根 据 需 要 ， 在 “选择 网 络 身份 验证 方法 ”下 拉 列 表 中 ， 选 择 所 需 的 身份 验证 方法 。 


图 14-48 “新 Vista 有 线 网 络 策略 Properties” 对 话 框 图 14-49 “安全 ”选项 卡 


图 单 击 “ 高 级 ”按钮 ， 显 示 如 图 14-50 所 示 的 “高 级 安全 
设置 ”对 话 框 。 根 据 需 要 ， 可 以 配置 802.1X 和 单一 登 
录 的 高 级 设置 。 具 体 各 选项 含义 如 下 。 

”最 大 Eapol 启动 消息 数 : 当 发 出 的 最 初 EAPOL-Start 消 
息 没 有 回应 时 ， 连 续 发 送 的 EAPOL-Start 消息 的 数目 。 

里 保持 时 间 : 当 最 初 EAPOL-Start 消息 没有 回应 时 ， 重 发 
的 EAPOL-Start 消息 之 间 的 间隔 时 间 。 

里 启动 时 间 :这 段 时 间 内 认证 客户 端 将 不 执行 任何 802.1X 
身份 验证 活动 。 

于。 验证 时 间 : 认证 客户 端 在 重 发 802.1X 请 求 之 前 等 待 的 
时 间 。 

@ 配置 完成 后 ， 连 续 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 图 14-50 “高 级 安全 设置 ”对 话 框 


14.2.2 配置 802.1X 访问 点 


为 了 在 802.1X 强制 中 使 用 ACL， 需 要 完成 如 下 工作 : 
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于 “使 用 AcL 配置 802.1X 访问 点 ， 限 制 不 符合 的 NAP 客户 端的 访问 。ACL 必须 包含 符合 内 网 更 新 服 
务 器 通讯 的 数据 包 筛 选 列 表 。 
sm 确定 通过 802.1X 访问 点 的 RADIUS 属性 识别 受 限 网 络 访问 的 ACL， 某 些 802.1X 访问 使 用 标准 的 
RADIUS 属性 筛选 ID。 
”为 了 在 802.1X 强制 中 使 用 VLAN， 需 要 完成 如 下 工作 。 
。 ”如 果 使 用 VLAN 访问 内 网 ， 那 么 VLAN 就 变 为 符合 的 NAP 客户 端的 VLAN。 在 这 种 情况 下 ， 
只 需要 为 不 符合 的 NAP 客户 端 创建 一 个 新 的 VLAN 即 可 。 
e ”确定 通过 802.1X 访问 点 的 RADIUS 属性 指出 受 限 网 络 VLAN， 某 些 802.1X 访问 点 使 用 如 下 
RADIUS 或 指定 供应 商 属性 : Tunnel-Medium-Type、Tunnel-Pvt-Group-ID、Tunnel-Type 和 
Tunnel-Tag。 


14.2.3 配置 NAP 健康 策略 服务 器 


802.1X 强制 的 NAP 健康 策略 服务 器 ， 与 802.1X 身份 验证 所 使 用 的 基于 NPS 的 RADIUS 服务 器 相同 。 
关于 配置 NAP 健康 策略 服务 器 ， 必 须 按 照 如 下 步骤 修改 现 有 NPS 服务 器 的 配置 : 

@ 安装 SHV。 

@ 配置 RADIUS 服务 器 设置 。 

@ 为 802.1X 强制 配置 健康 要 求 策 略 。 


1. 配置 RADIUS 服务 器 设置 


由 于 NAP 健康 策略 服务 器 已 经 配置 了 802.1X 身份 验证 ， 所 以 不 需要 对 RADIUS 服务 器 的 通常 配置 进 
行 更 改 ， 如 RADIUS 客户 端 或 UDP 端口 。 但 因为 802.1X 强制 配置 开始 时 会 使 用 报告 模式 ， 不 符合 的 NAP 
客户 端 拥有 不 受 限 访问 ， 所 以 要 在 启用 强制 模式 前 使 NAP 健康 策略 服务 器 记录 入 站 请 求 以 便于 分 析 。 

2. 为 802.1X 强制 配置 健康 要 求 策略 


因为 已 经 拥有 802.1X 身份 验证 的 无 线 或 有 线 访问 的 网 络 策略 , 为 了 配置 802.1X 强制 的 健康 要 求 策略 ， 
可 以 通过 如 下 方式 完成 : 
”保持 已 有 的 无 线 或 有 线 网 络 策略 ， 修 改 该 策略 使 其 符合 NAP 客户 端 ， 并 且 为 符合 的 和 不 符合 的 
NAP 客户 端 手动 创建 新 的 连接 请 求 策略 、 健 康 策略 ， 以 及 为 不 符合 的 和 未 启用 NAP 的 客户 端 创建 
其 他 的 网 络 策略 。 
”使 用 “配置 NAP 向 导 ” 为 802.1X 身份 验证 的 无 线 或 有 线 访问 创建 新 的 连接 请 求 策略 、 网 络 策略 
和 健康 策略 ， 然 后 手动 移植 现 有 的 无 线 和 有 线 网 络 策略 的 设置 到 相应 的 配置 NAP 向 导 创 建 的 网 络 
策略 中 ， 并 再 对 现 有 的 无 线 和 有 线 网 络 策略 进行 修改 。 
(1) 为 无 线 或 有 线 连 接 的 802.1X 强制 创建 策略 
为 无 线 或 有 线 连接 的 802.1X 强制 创建 的 策略 的 操作 ， 可 参见 第 13 章 ， 其 操作 基本 相同 。 这 里 只 介绍 
不 同 的 操作 内 容 。 
四 在 如 图 14-51 所 示 的 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”界面 中 ， 在 “网 络 连接 方法 ”下 拉 
列表 框 中 ， 选 择 “IEEE 802.1X( 无 线 )]” 或 者 “IEEE 802.1X( 有 线 ]” 选 项 ， 然 后 在 “策略 名 称 ” 文 
本 框 中 ， 输 入 策略 名 称 。 
回 在 如 图 14-52 所 示 的 “配置 身份 验证 方法 ”界面 中 ， 为 PEAP 身份 验证 选择 NPS 所 使 用 的 计算 机 
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证 书 ， 然 后 根据 需要 选中 “安全 密码 (PEAP-MS-CHAP v2)” 或 者 “智能 卡 或 其 他 证 书 (EAP-TLS)” 
复 选 框 即 可 。 


归 
必 选择 与 NAP 一 起 使 用 的 网 洛 连 接 方法 广 


由 


Ds 服务 可 三 书 
和 


CE ED 
[7 


第 确 名 称 - 
此 认 闵 实用 作 使 和 次 同 6 的 等 个 弟 辕 名称 的 一 部 分 区 可 以 鞭 用 该 Ki 广 本 吉 们 克己- 
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图 14-51 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”界面 图 14-52 “配置 身份 验证 方法 ”界面 


@ 在 如 图 14-53 所 示 的 “配置 虚拟 LAN(VLAN] ”界面 中 ， 如 果 RADIUS 客户 端 支持 VLAN， 则 可 以 
配置 NPS 以 向 RADIUS 客户 端 提供 包含 更 新 服务 器 的 受 限 网 络 ， 以 及 提供 完全 网 络 访问 权限 的 组 
织 网 络 的 VLAN 信息 。 

@ 在 “配置 虚拟 LAN(VLAN)” 界 面 的 “组 织 网 络 VLAN ” 区域 中 , 单 击 “ 配 置 按钮 ， 显 示 如 图 14-54 
所 示 的 “虚拟 LAN(VLAN) 配 置 ”对 话 框 。 在 “RADIUS 标准 属性 ”和 “供应 商 特定 属性 ”选项 卡 

中 ， 配 置 802.1X 访问 点 所 需 的 属性 ， 为 符合 的 NAP 客户 端的 内 网 访问 指定 ACL 或 VLAN ID。 设 

置 完成 后 ， 单 击 “确定 ” 按 钮 ， 保 存 配置 。 


有 ， 配置 虑 所 LAN (VLAN) 


a 


本 
一 衣 吉 更 络 TLAI 
苇 棕 自 和 5 提供 组 织 网 雹 的 LAY 信息 ， 请 单 二 “配置 "”。 
| 4 
i > 
a ru fe, We Pe 
EE) 
者 连 - 
SE 
图 14-53 “配置 虚拟 LAN(VLAN)” 界 面 图 14-54 


“虚拟 LAN(VLAN) 配 置 ” 对 话 框 (1) 

回 在 “配置 虚拟 LAN(VLAN)” 对 话 框 的 “ 受 限 网 络 VLAN ”选项 区 域 中 ， 单 击 “ 配 置 ”按钮 ， 显 示 
如 图 14-55 所 示 的 “虚拟 LAN(VLAN) 配 置 ”对 话 框 。 在 “RADIUS 标准 属性 ”和 “供应 商 特定 属 
性 ”选项 卡 中 , 为 内 网 访问 指定 ACL 或 VLAN ID, 配置 802.1X 访问 点 所 需 的 属性 。 因 为 想 要 最 初 
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@ 人 


的 NAP 强制 模式 为 报告 模式 ， 所 以 必须 为 内 网 访问 配置 ACL 或 VLAN ID, 而 非 受 限 访问 。 其 他 步 
又 将 会 为 不 符合 的 NAP 客户 端 测试 受 限 访问 ， 然 后 配置 强制 模式 ， 不 符合 的 NAP 客户 端 将 会 受 
到 访问 限制 。 最 后 ， 单 击 “确定 ”按钮 ， 保 存 配置 。 

(2] 配置 常规 网 络 策略 设置 

@ 打开 “网 络 策略 服务 器 ”窗口 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 在 右 侧 栏 中 ， 双 击 无 线 
或 有 线 网 络 策略 ， 显 示 策略 属性 对 话 框 ， 如 图 14-56 所 示 的 “概述 ”选项 卡 的 “网 络 连接 方法 ” 
选项 区 域 中 ， 查 看 是 否 设 置 了 “供应 商 特定 ”设置 ， 并 根据 实际 情况 来 选择 是 否 设置 。 


CE 


图 14-55 “虚拟 LAN(VLAN) 配 置 ”对 话 框 (2) 图 14-56 策略 属性 对 话 框 
@ 切换 到 如 图 14-57 所 示 的 “条 件 ” 选 项 卡 ， 查 看 除了 NAS 端口 类 型 以 外 是 否 还 有 其 他 条 件 ， 并 根 


据 实 际 需要 进行 设置 。 


(A 


图 14-57 “条 件 ” 选 项 卡 
图 切换 到 如 图 14-58 所 示 的 “约束 ”选项 卡 ， 查 看 约束 列表 中 的 任何 设置 是 否 配置 了 相应 值 ， 并 根 
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据 实际 需要 进行 设置 。 


图 14-58 “约束 ”选项 卡 


图 切换 到 如 图 14-59 所 示 的 “设置 ”选项 卡 ， 查 看 任意 其 他 RADIUS 标准 或 供应 商 指定 属性 是 否 配 
置 了 Framed-Protocol 和 Service-Type， 并 根据 实际 需要 进行 设置 。 


图 14-59 “设置 ”选项 卡 


连续 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 

双击 “配置 NAP 向 导 ” 为 符合 的 NAP 客户 端 创 建 无 线 或 有 线 网 络 策略 。 在 “概述 ”、“ 条 件 ”、 
“约束 ”和 “设置 ”选项 卡 中 ， 根 据 第 @ 步 一 第 @ 步 确定 的 网 络 策略 配置 现 有 无 线 或 有 线 策略 的 
设置 。 

@ 双击 “配置 NAP 向 导 ” 为 不 符合 的 NAP 客户 端 创 建 无 线 或 有 线 网 络 策略 。 在 “概述 ”、“ 条 件 ”、 
“约束 ”和 “设置 ”选项 卡 中 ， 根 据 第 @ 步 一 第 @ 步 确定 的 网 络 策略 配置 现 有 无 线 或 有 线 策略 的 
设置 。 


双击 “配置 NAP 向 导 ” 为 不 具有 NAP 功能 客户 端 创建 无 线 或 有 线 网 络 策略 。 在 “概述 ”、“ 条 


A@@ 
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四 二 


件 ”、“ 约 束 ” 和 “设置 ” 
策略 的 设置 。 
(3] 配置 报告 模式 


Q@ 打开 “网 络 策略 服务 器 ”管理 单元 中 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 在 右 侧 栏 中 ， 双 


选项 卡 中 ， 根 据 第 @ 步 ~ 第 @ 步 确定 的 网 络 策略 配置 现 有 无 线 或 有 线 


击 “ 配 置 NAP 向 导 ” 创 建 的 不 符合 的 NAP 客户 端的 网 络 策略 。 


@ 切换 到 “设置 ”选项 卡 ， 然 后 单 击 “NAP 强制 ”选项 ， 显 示 如 图 14-60 所 示 的 “NAP 802.1X( 有 
线 ) 不 符合 属性 ”对 话 框 。 在 网 络 策略 属性 对 话 框 的 详细 面板 中 ， 选 择 “ 人 允许 完全 网 络 访问 ” 单 


选 按钮 。 


图 14-60 


@ 单 击 “确定 ”按钮 ， 保 存 设置 。 


模 定 是 本 要 对 此 用 大 强制 宛 区 访 问 保护 * 
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有 则 台 


自生 新 
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“NAP 802.1X( 有 线 ) 不 符合 属性 ”对 话 框 


(4) 为 所 要 求 的 健康 设置 配置 健康 策略 条 件 


@ 在 “网 络 策略 服务 器 ”管理 单元 中 ， 依 次 展开 “策略 ”一 “健康 策略 ”节点 。 

回 ”双击 符合 和 不 符合 的 NAP 客户 端的 健康 策略 ， 根 据 健 康 评估 条 件 和 SHV 的 需要 进行 设置 。 
在 该 配置 中 ， 创 建 并 配置 了 NAP 健康 要 求 策 略 ， 但 是 NAP 健康 策略 服务 器 仍然 使 用 已 有 的 无 线 或 有 
线 连 接 要 求 ， 以 及 无 线 或 有 线 访问 的 网 络 策略 。 因 此 ， 必 须 修改 连接 请 求 策略 的 配置 ， 确 保 802.1X 强制 的 


新 的 连接 请 求 策略 用 于 有 线 或 无 线 连接 。 


(5] 为 802.1X 强制 修改 连接 请 求 策略 

“配置 NAP 向 导 ” 创 建 的 无 线 或 有 线 连接 的 连接 请 求 策略 ， 要 求 使 用 基于 PEAP 的 身份 验证 方法 ， 以 
及 系统 健康 检查 。 不 使 用 基于 PEAP 的 身份 验证 方法 的 802.1X 客户 端的 连接 尝试 ， 将 会 被 NAP 健康 策略 
服务 器 拒绝 。 使 用 基于 PEAP 的 身份 验证 方法 , 但 是 不 符合 健康 状态 要 求 的 NAP 客户 端 , 将 被 NAP 健康 策 


略 服务 器 定义 为 不 具有 NAP 功能 的 客户 端 。 


14.2.4 配置 NAP 客户 端 


[5161 


尽管 可 以 单独 配置 NAP 客户 端 ， 但 是 在 活动 目录 域 环境 下 集中 配置 NAP 客户 端的 最 好 方法 就 是 通过 
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组 策略 设置 ， 主 要 包括 如 下 步骤 。 
@ 为 PEAP 启用 系统 健康 检查 。 
@ 配置 NAP 客户 端 设置 。 
图 启用 Windows 安全 中 心 (请 参考 IPSec NAP 客户 端的 配置 )。 
@ 配置 网 络 访问 保护 代理 服务 的 自动 启用 (请 参考 IPSec NAP 客户 端的 配置 ] 。 


1. 为 PEAP 启用 系统 健康 检查 


尽管 已 经 配置 了 NAP 客户 端 使 用 PEAP 身份 验证 协议 ， 但 是 如 果 PEAP 身份 验证 协议 不 启用 系统 健康 
检查 ， NAP 客户 端 将 不 会 回应 系统 健康 状态 的 请 求 。 通 过 组 策略 扩展 ， 可 以 为 有 线 和 无 线 网 络 启用 PEAP 
的 系统 健康 检查 。 


2. 在 组 策略 中 为 PEAP 启用 系统 健康 检查 


Q@ 打开 “组 策略 管理 ”窗口 ， 右 击 想 要 设置 的 策略 名 称 ， 在 弹出 的 快捷 菜单 中 选择 “编辑 ”命令 ， 
打开 如 图 14-61 所 示 的 “组 策略 管理 编辑 器 ”窗口 。 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “Windows 
设置 ”一 “安全 设置 ”一 “有 线 网 络 (IEEE 802.3) 策 略 ”。 

加 ”双击 有 线 网 络 策略 ， 显 示 如 图 14-62 所 示 的 有 线 网 络 策略 属性 对 话 框 。 在 “策略 名 ”和 “描述 ” 
文本 框 中 ， 可 根据 需要 设置 策略 名 称 和 描述 信息 。 
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图 14-61 “组 策略 管理 编辑 器 ”窗口 图 14-62 有线 网 络 策略 属性 对 话 框 


图 切换 至 如 图 14-63 所 示 的 “安全 ”选项 卡 ， 单 击 “ 属 性 ”按钮 ， 显 示 如 图 14-64 所 示 的 “ 受 保护 
的 EAP 属性 ”对 话 框 ， 选 中 “启用 隔离 检查 ” 复 选 框 。 

田 ”连续 单 击 “ 确 定 ” 按 钮 ， 返 回 到 “组 策略 管理 编辑 器 ”窗口 。 

@ ”对 于 无 线 连接 ， 在 控制 台中 ， 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 
设置 ”一 “无 线 网 络 (IEEE 802.11) 策 略 ”节点 ， 如 图 14-65 所 示 。 

双击 Vista 无 线 连接 策略 ， 显 示 如 图 14-66 所 示 的 “Vista 无 线 连 接 策略 属性 ”对 话 框 。 双 击 相应 
的 无 线 配置 文件 ， 显 示 如 图 14-67 所 示 的 “新 建 配置 文件 (1) 属性” 对话 框 。 根 据 实 际 需要 ， 设 
置 配置 文件 的 连接 信息 。 

@ 切换 至 “安全 ”选项 卡 ， 单 击 “ 属 性” 按钮， 显示 如 图 14-68 所 示 的 “ 受 保护 的 EAP 属性 ”对 话 
框 ， 选 中 “启用 隔离 检查 ” 复 选 框 。 

连续 单 击 “ 确 定 ” 按 钮 ， 返 回 到 “组 策略 管理 编辑 器 ”对 话 框 。 
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图 14-63 “安全 ”选项 卡 图 14-64 “ 受 保护 的 EAP 属性 ”对 话 框 


图 14-65 展开 “无 线 网 络 (IEEE 802.11) 策 略 ” 图 14-66 “Vista 无 线 网 络 策略 属性 ”对 话 框 
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图 14-67 “新 建 配置 文件 (1) 属性 ”对 话 框 图 14-68 “ 受 保护 的 EAP 属性 ”对 话 框 
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双击 “XP 无 线 网 络 策略 ”， 显 示 如 图 14-69 所 示 的 “XP 无 线 网 络 策略 属性 ”对 话 框 。 根 据 需 要 ， 
设置 无 线 网 络 策略 的 名 称 和 描述 信息 。 

图 切换 至 如 图 14-70 所 示 的 “首选 网 络 ” 选 项 卡 ， 在 “网 络 ” 列 表 框 中 ,双击 相 应 的 无 线 网 络 名 称 ， 
显示 如 图 14-71 所 示 的 “编辑 NEWSSID 属性 ”对 话 框 ， 即 可 开始 编辑 其 属性 设置 。 


IT 加 四 5 性 Ea 


图 14-69 “XP 无 线 网 络 策略 属性 ”对 话 框 图 14-70 “首选 网 络 ”选项 卡 
@@ 切换 到 如 图 14-72 所 示 的 IEEE 802.1X 选项 卡 ， 单 击 “ 设 置 ”按钮 ， 显 示 如 图 14-73 所 示 的 “ 受 
保护 的 EAP 属性 ”对 话 框 ， 选 中 “启用 隔离 检查 ” 复 选 框 。 


TDTT3 


图 14-71 “编辑 NEWSSID 属性 ”对 话 框 图 14-72 IEEE 802.1X 选项 卡 

吧 ”连续 单 击 “ 确 定 ”按钮 ， 返 回 到 “组 策略 管理 编辑 器 ”对 话 框 。 
提示 : 因为 在 运行 Windows XP 的 计算 机 上 ， 没 有 组 策略 为 有 线 网 络 配置 802.1X 身份 验证 属性 ， 所 以 必 
须 手 动 启用 PEAP 的 系统 健康 检查 。 

3. 配置 NAP 客户 端 设 置 


打开 “组 策略 管理 ”窗口 。 依 次 展开 “ 林 ” 一 “ 域 ” 节 点 ， 在 “链接 的 组 策略 对 象 ”面板 中 ， 右 击 适 
当 的 组 策略 对 象 ， 在 弹出 的 快捷 菜单 中 选择 “编辑 ” 命令， 打开“ 组 策略 管理 编辑 器 ”窗口 。 依 次 展开 “ 计 
算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “网 络 访问 保护 ”一 “NAP 客户 端 配置 ”节点 。 


LS197 


四 TD 


在 控制 台中 ， 单 击 “ 强 制 客户 端 ”， 在 右 侧 栏 中 ， 双 击 “EAP 隔离 强制 客户 端 ”图 标 ， 显 示 如 图 14-74 
所 示 的 “EAP 隔离 强制 客户 端 属性 ”对 话 框 。 选 中 “启用 此 强制 客户 端 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 保 
存 设置 。 
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图 14-73 “ 受 保护 的 EAP 属性 ”对 话 框 图 14-74 “EAP 隔离 强制 客户 端 属性 ”对 话 框 


对 于 运行 Windows XP SP3 的 计算 机 , 在 控制 台中 , 依次 展开 “计算 机 配置 "一 “管理 模板 ”一 “Windows 
组 件 ” 一 “网 络 访问 保护 ”节点 。 然 后 在 右 侧 栏 中 ， 双 击 “允许 网 络 访问 保护 客户 端 支持 802.1X 强制 客户 
端 组 件 ” 图 标 ， 显 示 如 图 14-75 所 示 的 “允许 网 络 访问 保护 客户 端 支持 802.1x 强制 客户 端 组 件 属性 ”对 
话 框 。 在 “设置 ”选项 卡 中 ， 选 择 “ 已 启用 ” 单 选 按钮 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 即 可 。 
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图 14-75 “允许 网 络 访问 保护 客户 端 支持 802.1x 强制 客户 端 组 件 属性 ”对 话 框 


14.2.5 ”测试 受 限 访问 


在 启用 强制 模式 前 ,必须 测试 不 符合 的 NAP 客户 端的 连接 是 否 被 分 配 了 正确 ACL 或 VLAN ID。 具体 测 
试 步骤 如 下 。 
@ 为 安全 组 成 员 的 NAP 客户 端的 受 限 访问 创建 新 的 网 络 策略 。 
@ 确保 不 符合 的 访问 受 限 的 测试 计算 机 配置 了 相应 的 ACL 或 VLAN ID， 并 且 只 能 访问 内 网 的 更 新 服 
务 器 。 
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为 测试 组 创建 新 的 网 络 策略 


@@ 指定 内 网 中 的 一 些 计算 机 作为 受 限 访问 的 测试 计算 机 。 

@ ”使 用 “活动 目录 用 户 和 计算 机 ”管理 单元 ， 为 测试 受 限 访问 创建 一 个 安全 组 ， 并 且 将 指定 的 计算 
机 添加 到 该 组 中 。 

@@ 在 “网 络 策略 服务 器 ”管理 单元 中 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 

图 右 击 使 用 “配置 NAP 向 导 ” 创 建 的 不 符合 的 NAP 客户 端的 无 线 或 有 线 网 络 策略 ， 在 弹出 的 快捷 
菜单 中 选择 “重复 策略 ”选项 ， 创 建 策略 副本 ， 如 图 14-76 所 示 。 


图 14-76 网络 策 略 副 本 


回 双击 不 符合 的 NAP 客户 端的 无 线 或 有 线 网 络 策略 的 副本 ， 显 示 如 图 14-77 所 示 的 “副本 NAP 
802.1X (有 线 ) 不 符合 属性 ”对 话 框 。 在 “策略 名 称 ”文本 框 中 , 输入 新 的 网 络 策略 的 名 称 。 在 “ 策 
略 状态 ”区 域 中 ， 选 中 “策略 已 启用 ” 复 选 框 。 


图 14-77 “副本 NAP 802.1X (有 线 ) 不 符合 属性 ”对 话 框 
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@ 切换 到 “条 件 ” 选 项 卡 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 14-78 所 示 的 “选择 条 件 ” 对 话 框 。 
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we 
Se a et 和 让 于 Ms 各 
和 三 万 况且 访 问 有 和 各 95) 志 网 区 相信 * 请 在 作用 此 孙 件 之 二 区 闻 RS 文 鸡 * 


图 14-78 “选择 条 件 ”对 话 框 


@ 双击 “Windows 组 ”选项 ， 显 示 “Windows 组 ”对 话 框 。 单 击 “ 添 加 组 ”按钮 显示“ 选择 组 ” 
对 话 框 ， 指 定 预先 创建 的 组 名 称 ， 然 后 单 击 两 次 “确定 ”按钮 ， 返 回 到 “副本 NAP 802.1X (有 线 ) 
不 符合 属性 ”对 话 框 。 

切换 到 “设置 ”选项 卡 ， 在 “RADIUS 属性 ”区 域 ， 单 击 “ 标 准 ” 选 项 ， 如 图 14-79 所 示 。 修 改 
RADIUS 标准 属性 ， 为 受 限 访问 指定 ACL 或 VLAN ID。 
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图 14-79 RADIUS 标准 设置 


@ 在 “RADIUS 属性 ”区 域 中 ， 单 击 “ 供 应 商 特定 ”选项 ， 如 图 14-80 所 示 。 根 据 实际 需要 ， 修 改 
供应 商 特定 属性 为 受 限 访问 指定 ACL 或 VLAN ID。 

在 “网 络 访问 保护 ”区 域 中 ， 单 击 “NAP 强制 ”选项 ， 如 图 14-81 所 示 。 在 右 侧 栏 中 ， 选 择 “多 

许 受 限 访问 ” 单 选 按钮 ， 并 取消 选中 “启用 客户 端 计算 机 的 自动 更 新 功能 ” 复 选 框 。 

单 击 “ 配 置 ” 按钮， 显示 如 图 14-82 所 示 的 “更 新 服务 器 和 疑难 解答 URL” 对 话 框 。 在 “疑难 解 

答 URL” 文 本 框 中 ， 输 入 疑难 解答 URL 更 新 服务 器 的 页 面 URL。 

单 击 两 次 “确定 ”按钮 ， 保 存 设置 。 

右 击 不 符合 的 NAP 客户 端的 网 络 策略 副本 ， 在 弹出 的 快捷 菜单 中 选择 “上 移 ” 命 令 ， 将 策略 副本 

上 移 。 重 复 操作 ， 直 至 不 符合 的 NAP 客户 端的 网 络 策略 副本 位 于 不 符合 的 NAP 客户 端的 网 络 策 

略 之 上 。 
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多 六 完全 网 说 访问 吕 ) 
人 


人 认 洗 在 让 于 间 力 对 问 拉 央行 袍 条 访问 名 


ts 


v Haw 
合共 许 蚂 限 访问 人 
不 再 台 仿 他] 容 户 尖 只 允许 访问 腔 阳 网 站 以 进行 可 新 


更 新 肥 公关 夫 tW 答 m 
和 要 配 半 更 新 闭 秀 党组 、 姑 学前 等 mL 或 阵 j 醒 于 二 者 ， 请 单 击 “ 醒 要” 


EE 
反 局 二 窗户 潮 计算 机 自动 生 亲 能) 
上 更新 不 并 中 此 六 下 证 定 义 的 能 康 要 于; 


图 14-81 “NAP 强制 ”配置 图 14-82 “更 新 服务 器 和 疑难 解答 URL” 对 话 框 


为 不 符合 的 测试 计算 机 测试 受 限 访 问 


和 
名 为 了 测试 受 限 访问 ， 将 安全 组 中 的 测试 计算 机 配置 为 不 符合 。 根 据 系统 健康 要 求 ， 可 能 需要 手动 
禁用 自动 更 新 或 Windows 防火 墙 。 
@ 在 网 络 连 接 文件 夹 中 ， 通 过 禁用 然后 启用 无 线 或 有 线 网 络 适 配器 来 强制 802.1X 身份 验证 。 
图 当 802.1X 身 份 验证 完成 时 ， 应 该 会 看 到 网 络 访问 保护 的 通知 消息 。 也 可 以 通过 运行 命令 ipconfig 
/all 验证 受 限 状态 。 
图 验证 是 否 可 以 到 达 所 有 更 新 服务 器 ， 并 能 访问 疑难 解答 URL。 
图 验证 内 网 中 除了 更 新 服务 器 ， 不 能 到 达 其 他 服务 器 。 

根据 测试 ， 为 不 符合 的 NAP 客户 端 修改 网 络 策略 的 副本 ， 如 更 新 服务 器 组 、 疑 难 解答 URL、RADIUS 
属性 , 或 者 802.1X 访问 点 的 ACL 或 VLAN 受 限 网 络 配置 。 在 更 新 服务 器 上 ， 可 以 使 用 系统 健康 要 求 的 软件 


ED237 


四 ED 


和 SHA 安装 软件 ， 确 保 软件 和 SHA 安装 软件 安装 在 不 符合 的 NAP 客户 端 上 。 


14.2.6 ”为 不 符合 的 NAP 客户 端的 延期 强制 配置 网 络 策略 


在 为 不 符合 的 NAP 客户 端 测试 完 网 络 通信 后 ,确定 延期 强制 模式 的 日 期 。 到 达 该 日 期 , 不 符合 的 NAP 
客户 端 将 会 被 置 于 受 限 网 络 中 。 在 802.1X 强制 的 延期 强制 模式 下 ， 不 符合 的 NAP 客户 端 仍 置 于 内 网 中 ， 
但 是 用 户 会 收 到 通知 消息 ， 通 知 其 计算 机 不 符合 系统 健康 要 求 。 

打开 网 络 策略 属性 对 话 框 ， 切 换 到 “设置 ”选项 卡 ， 然 后 单 击 “NAP 强制 ”选项 ， 如 图 14-83 所 示 。 
选择 “人 允许 在 有 限时 间 内 对 网 络 执行 完全 访问 ” 单 选 按钮 ， 指 定 NAP 健康 策略 服务 器 上 配置 的 日 期 和 时 间 
即 可 。 
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ED 
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自动 更 放 不 项 足 此 第 可 大 室 尺 的 泪 康 要 求 的 计算 机 。 


图 14-83 “设置 ”选项 卡 


14.2.7 ”为 强制 模式 配置 网 络 策略 


因为 已 经 为 不 符合 的 NAP 客户 端的 受 限 访问 配置 和 测试 了 网 络 策略 ， 为 了 启用 强制 模式 ， 可 以 修改 网 
络 策略 副本 ， 并 且 禁 用 不 符合 的 NAP 客户 端的 初始 网 络 策略 。 


1. 配置 强制 模式 


打开 “网 络 策略 服务 器 ”窗口 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 双 击 不 符合 的 NAP 客户 
端的 网 络 策略 副本 ， 打 开 “ 策 略 副本 属性 ”对 话 框 。 

切换 到 “条 件 ”选项 卡 ， 在 “条 件 ” 列 表 中 ， 选 择 “Windows 组 ”选项 ， 单 击 “ 删 除 ” 按 钮 ， 如 
图 14-84 所 示 。 

切换 到 “设置 ”选项 卡 ， 在 “网 络 访问 保护 ”区 域 ， 单 击 “NAP 强制 ”选项 。 在 “自动 更 新 ” 选 
项 区 域 ， 选 中 “启用 客户 端 计算 机 的 自动 更 新 功能 ” 复 选 框 ， 如 图 14-85 所 示 。 

单 击 “ 确 定 ”按钮 ， 保 存 设置 。 

右 击 “ 配 置 NAP 向 导 ” 创 建 的 不 符合 的 NAP 客户 端的 原始 网 络 策略 ， 在 弹出 的 快捷 菜单 中 选择 
“删除 ”命令 。 
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图 14-84 “条 件 ” 选 项 卡 


更 新 驾 务 器 组 和 雪村 租 竺 UL 
蕊 要 本 当 盏 亲 台 务 加 要 、 好 对 好 等 VEL 或 EdBX 亚 二 用 ， 丙 单机 “如 轩 ”。 


自动 各 新 
柜 有 二 窜 记 计算 机 的 自动 更 新 功能 W) 


图 14-85 “设置 ”选项 卡 
此 时 ， 用 于 测试 不 符合 的 NAP 客户 端 受 限 访问 的 网 络 策略 ， 将 应 用 于 所 有 NAP 客户 端 上 ， 并 且 删 除 
了 原始 的 不 符合 的 NAP 客户 端的 网 络 策略 。 
为 了 限制 不 支持 NAP 的 客户 端的 访问 ， 在 强制 模式 下 ， 必 须 为 不 支持 NAP 的 客户 端的 受 限 访问 配置 
网 络 策略 。 因 为 不 符合 的 NAP 客户 端的 网 络 策略 副本 已 经 配置 好 ， 并 且 经 过 了 测试 ， 可 以 为 不 支持 NAP 
的 客户 端 复制 然后 修改 该 策略 。 


2. 限制 不 支持 NAP 的 客户 端的 访问 


@ 打开 “网 络 策略 服务 器 ”窗口 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 右 击 不 符合 的 NAP 客户 
端的 网 络 策略 副本 ， 在 弹出 的 快捷 菜单 中 选择 “重复 策略 ”选项 ， 显 示 如 图 14-86 所 示 的 “副本 
NAP 802.1X( 有 线 ] 不 符合 ” 窗 格 。 

回 ”双击 新 的 网 络 策略 ， 显 示 如 图 14-87 所 示 的 “副本 副本 NAP802.1X( 有 线 ] 不 符合 属性 ”对 话 框 。 


[S25 


四 we 


[526 1 


在 “策略 名 称 ” 文 本 框 中 ， 输 入 新 的 网 络 策略 的 名 称 。 在 “策略 状态 ”区 域 ， 选 中 “策略 已 启用 ” 
复 选 框 。 


图 14-86 “副本 NAP 802.1X( 有 线 ) 不 符合 ” 窗 格 


@ 切换 到 “条 件 ” 选 项 卡 ， 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 条 件 ” 对 话 框 。 双 击 “ 支 持 NAP 的 计算 
机 ”选项 ， 显 示 如 图 14-88 所 示 的 “支持 NAP 的 计算 机 ”对 话 框 ， 选 择 “ 仅 限 不 支持 NAP 的 计 
算 机 ” 单 选 按钮 。 


图 14-87 “副本 副本 NAP 802.1X( 有 线 ) 不 符合 属性 ”对 话 框 图 14-88 “支持 NAP 的 计算 机 ”对 话 框 


图 单 击 “ 确 定 ” 按 钮 ， 返 回 到 “条 件 ” 选 项 卡 。 选 择 “ 健 康 策略 ”选项 ， 单 击 “ 删 除 ” 按 钮 ， 将 其 
删除 。 最 终 确 认 仅 保留 “支持 NAP” 条 件 即 可 。 

回 单 击 “ 确 定 ” 按 钮 ， 保 存 设 置 。 在 “网 络 策略 服务 器 ”窗口 中 ， 移 动 新 建 的 网 络 策略 直至 其 位 于 
原始 网 络 策略 之 上 。 

右 击 “配置 NAP 向 导 ” 创 建 的 不 符合 的 NAP 客户 端的 原始 网 络 策略 ， 在 弹出 的 快捷 菜单 中 选择 
“删除 ”命令 ， 删 除 原 策略 。 
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至 此 , 802.1X 强制 的 配置 完成 。 不 符合 的 NAP 客户 端 和 不 支持 NAP 的 客户 端 , 即 可 通过 ACL 或 VLAN 
来 限制 访问 。 


14.3 配置 VPN 强制 


对 VPN 强制 的 工作 过 程 有 所 了 解 之 后 ， 即 可 开始 在 网 络 中 部 署 VPN 强制 。 需 要 注意 的 是 ， 某 些 环节 
对 系统 或 网 络 策略 安全 性 配置 要 求 比较 高 ， 如 果 服务 器 分 配 不 够 合理 ， 则 可 能 导致 应 用 故障 。 如 果 条 件 多 
许 ， 建 议 为 每 个 服务 器 角色 选择 单独 的 服务 器 ， 以 免 由 于 彼此 之 间 的 系统 环境 需求 不 同 ， 而 导致 兼容 问题 。 


14.3.1 为 VPN 服务 器 配置 EAP 身份 验证 


如 果 用 户 没有 为 远程 访问 VPN 连接 使 用 基于 EAP 的 身份 验证 方法 ， 则 必须 配置 基于 Windows Server 
2008 的 VPN 服务 器 使 之 运行 基于 EAP 的 身份 验证 。 
@ 在 “路 由 和 远程 访问 ”窗口 ， 右 击 路 由 和 远程 访问 服务 器 的 名 称 ， 在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ， 显 示 如 图 14-89 所 示 的 服务 器 属性 对 话 框 。 
@ 切换 至 如 图 14-90 所 示 的 “安全 ”选项 卡 。 提 示 ， 由 于 安装 了 NPS 服务器， 必须 使 用 它 进行 身份 
验证 和 记 账 。 


图 14-89 ”服务 器 属性 对 话 框 图 14-90 “安全 ”选项 卡 


图 单 击 “身份 验证 方法 ”按钮 ， 显 示 如 图 14-91 所 示 的 “身份 验证 方法 ”对 话 框 ， 选 中 “可 扩展 的 
身份 验证 协议 (EAP)” 复 选 框 。 


图 14-91 “身份 验证 方法 ”对 话 框 
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连续 两 次 单 击 “ 确 定 ”按钮 ， 保 存 配置 即 可 。 


14.3.2 配置 NAP 健康 策略 服务 器 


VPN 强制 的 NAP 健康 策略 服务 器 , 与 远程 访问 VPN 身份 验证 所 使 用 的 NPS RADIUS 服务 器 相同 。 为 了 
配置 NAP 健康 策略 服务 器 ， 用 户 必须 对 现 有 NPS 服务 器 进行 如 下 配置 。 
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申请 计算 机 验证 证 书 
安装 和 配置 SHV 

配置 RADIUS 服务 器 设置 

配置 VPN 强制 的 健康 要 求 策略 


1. 申请 计算 机 验证 证 书 
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在 NPS 服务 器 上 ， 单 击 “ 开 始 ” 一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 的 “打开 ”文本 框 中 
输入 “mmc” 并 按 Enter 键 ， 打 开 “ 控 制 台 ”窗口 。 

单 击 “ 文 件 ” 一 “添加 或 删除 管理 单元 ”命令 ， 显 示 如 图 14-92 所 示 的 “添加 或 删除 管理 单元 ” 
对 话 框 ， 在 “可 用 的 管理 单元 ”列表 框 中 ， 选 择 “ 证 书 ”单元 。 


图 14-92 “添加 或 删除 管理 单元 ”对 话 框 


单 击 “ 添 加 ”按钮 ， 显 示 如 图 14-93 所 示 的 “证 书 管理 单元 ”对 话 框 ， 选 择 “计算 机 账户 ” 单 选 
按钮 。 

单 击 “ 下 一 步 ”按钮 ， 在 “选择 计算 机 ”对 话 框 中 ， 选 择 “ 本 地 计算 机 ” 单 选 按钮 。 

依次 单 击 “完成 ”和 “和 确定” 按钮， 返回“ 控制 台 ” 窗 口 。 

在 “控制 台 ” 窗 口中 ， 依 次 展开 “证 书 (本 地 计算 机 ]” 一 “个 人 ”， 右 击 “ 个 人 ”并 依次 选择 “所 
有 任务 ”一 “申请 新 证 书 ” 命 令 ， 显 示 如 图 14-94 所 示 的 “在 您 开始 前 ”界面 。 

单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 14-95 所 示 的 “申请 证 书 ” 界 面 ， 选 中 “计算 机 ” 复 选 框 。 
单 击 “ 注 册 ” 按 钮 ， 开 始 向 网 络 中 的 CA 提交 证 书 申请 ， 稍 等 即 可 成 功 。 单 击 “完成 ”按钮 ， 返 
回 “ 控 制 台 ”窗口 ， 如 图 14-96 所 示 。 
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图 14-93 “证 书 管理 单元 ”对 话 框 图 14-94 “在 您 开始 前 ”界面 
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市 下 书 = 

DT 

HN We ET 

RRM 六 

Re] 
Terni a 

图 14-95 “申请 证 书 ” 界 面 图 14-96 “控制 台 ” 窗 口 


2. 创建 VPN 强制 策略 


@ 在 NPS 服务 器 上 ， 打 开 “ 网 络 策略 管理 器 ”窗口 。 单 击 NPS 选项 ， 在 “标准 配置 ”下 拉 列 表 框 中 
选择 “网 络 访问 保护 (NAP)” 选 项 。 单 击 “ 配 置 NAP” 超 级 链接 ， 显 示 如 图 14-97 所 示 的 “选择 
与 NAP 一 起 使 用 的 网 络 连 接 方 法 ”界面 。 在 “网 络 连接 方法 ”下 拉 列 表 中 ， 选 择 “ 虚 拟 专用 网 络 
(VPN)”; 在 “策略 名 称 ” 文 本 框 中 ， 输 入 对 应 的 名 称 ， 建 议 使 用 默认 名 称 。 

@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 14-98 所 示 的 “指定 NAP 强制 服务 器 运行 VPN 服务 器 ”界面 。 

由 于 NAP 健康 策略 服务 器 已 经 是 一 个 RADIUS 服务 器 , 本 例 中 配置 VPN 服务 器 时 ,已 经 将 RADIUS 

服务 器 指向 该 服务 器 。 需 要 注意 的 是 ， 必 须 在 该 服务 器 上 设置 与 之 对 应 的 RADIUS 客户 端 ， 双 方 

才 可 以 建立 连接 。 


提示 : 如 果 在 此 之 前 , 管理 员 在 NPS 一 “RADIUS 服务 器 和 客户 端 ” 中 设置 了 指向 VPN 服务 器 的 RADIUS 
客户 端 ， 则 将 显示 在 “RADIUS 客户 端 ”列表 中 。 


图 单 击 “ 添 加 ”按钮 ， 显 示 如 图 14-99 所 示 的 “新 建 RADIUS 客户 端 ” 对 话 框 ， 在 “友好 名 称 ” 文 
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本 框 中 ， 设 置 适当 的 名 称 ， 在 “地 址 (IP 或 DNS)” 文 本 框 中 ， 输 入 VPN 服务 器 的 IP 地 址 。“ 共 
享 机 密 ” 的 方式 必须 与 VPN 服务 器 匹配 。 


图 14-97 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”界面 ”图 14-98 “指定 NAP 强制 服务 器 运行 VPN 服务 器 ”界面 


图 单 击 “ 确 定 ”按钮 ， 返 回 “指定 NAP 强制 服务 器 运行 VPN 服务 器 ”对 话 框 。 单 击 “ 下 一 步 ” 按 
钮 ， 显 示 如 图 14-100 所 示 的 “配置 用 户 组 和 计算 机 组 ”界面 ， 根 据 需要 配置 组 。 如 果 不 选择 ， 则 
将 对 所 有 计算 机 组 和 用 户 组 有 效 。 


图 14-99 “新 建 RADIUS 客户 端 ”对 话 框 图 14-100 “配置 用 户 组 和 计算 机 组 ”界面 


回 单 击 “ 下 一 步 ” 按 钮 显示 如 图 14-101 所 示 的 “配置 身份 验证 方法 ”界面 ， 为 PEAP 身份 验证 选 
择 NPS 所 使 用 的 计算 机 证 书 ， 即 上 述 操作 中 申请 的 验证 证 书 。 根 据 需 要 选中 “安全 密码 
(PEAP-MS-CHAP v2] ”或 者 “智能 卡 或 其 他 证 书 (EAP-TLS)” 复 选 框 ,需要 注意 的 是 ，VPN 服务 器 、 
NPS 和 客户 端 必须 设置 完全 相同 的 身份 验证 方式 , 否则 无 法 建立 连接 。 如 果 默 认 没有 使 用 该 证 书 ， 
则 可 以 单 击 “选择” 按钮 ， 显 示 “ 选 择 证 书 ” 对 话 框 ， 确 认为 所 需 证 书后 单 击 “ 确 定 ” 按 钮 即 可 。 

单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 14-102 所 示 的 “指定 NAP 更 新 服务 器 组 和 URL” 界 面 。 更 新 服 
务 器 组 的 主要 作用 就 是 对 未 通过 健康 策略 审查 的 被 隔离 客户 端 进行 “补救 ”， 通 常 包 括 WSUS 服 
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务 器 、 网 络 防 病毒 服务 器 等 。 除 此 之 外 ， 也 可 以 根据 健康 策略 的 审查 重点 不 同 ， 而 不 设置 更 新 服 
务 器 组 ， 例 如 仅 检测 网 络 防火 墙 状态 。 在 这 里 单 击 “ 新 建 组 ”按钮 ， 可 以 配置 更 新 服务 器 组 。 
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图 14-101 “配置 身份 验证 方法 ”界面 图 14-102 


“指定 NAP 更 新 服务 器 组 和 URL” 界 面 

@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 14-103 所 示 的 “定义 NAP 健康 策略 ”界面 ， 选 择 VPN 强制 需要 
评估 的 SHV， 根 据 需 要 选中 “启用 客户 端 计算 机 的 自动 更 新 ” 复 选 框 。 选 择 “ 人 允许 对 不 具有 NAP 
功能 的 客户 端 计算 机 的 完全 网 络 访问 权限 ” 单 选 按钮 ， 即 可 使 用 户 想 要 不 支持 NAP 功能 的 客户 端 
拥有 受 限 访问 。 选 中 “启用 客户 端 计算 机 的 自动 更 新 ” 复 选 框 ， 则 当 由 于 客户 端 计算 机 的 自动 更 
新 未 开启 而 未 通过 策略 审核 被 隔离 时 ， 将 自动 启动 客户 端的 自动 更 新 设置 。 


@ 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 14-104 所 示 的 “正在 完成 NAP 增强 策略 和 RADIUS 客户 端 配置 ” 
界面 。 
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站 ， 定义 NAP 健康 策略 1 | 正在 完成 NAP 增强 策略 和 RADIUS 客户 端 配 置 
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14-103 “定义 NAP 健康 策略 ”界面 14-104 “正在 完成 NAP 增强 策略 和 
RADIUS 客户 端 配置 ”界面 


@ 单 击 “ 完 成 ”按钮 ， 关 闭 “ 配 置 NAP” 向 导 。 
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“配置 NAP” 向 导 创建 的 连接 请 求 策略 、 健 康 策略 和 网 络 策略 位 于 各 自 顺 序列 表 的 底部 ， 直 到 用 户 删 
除 或 改变 现 有 远程 访问 VPN 网 络 策略 ，“ 配 置 NAP” 向 导 创建 的 网 络 策略 才 会 用 于 基于 VPN 的 远程 访问 
连接 的 身份 验证 或 健康 评估 。 


提示 : 为 了 确保 “配置 NAP” 向 导 产 生 的 策略 是 正确 无 误 的 ， 应 在 “策略 ”中 的 “连接 请 求 策略 ”、“ 健 
康 策略 ”和 “网 络 策略 ”中 ， 一 一 检查 每 条 策略 的 执行 顺序 、 条 件 、 约 束 和 设置 等 . 


3. 安装 和 配置 SHV 


SHV 必须 安装 在 NAP 健康 策略 服务 器 上 ， 进 行 健康 策略 评估 。NPS 服务 包含 Windows 安全 健康 验证 
程序 SHV, 来 指定 运行 Windows Vista 或 Windows XP SP3 的 NAP 客户 端的 Windows 安全 中 心 设置 , 包括 
防火 墙 、 自 动 更 新 、 防 病毒 程序 、 防 间谍 软件 等 审核 对 象 。 安 装 其 他 SHV 的 方法 将 取决 于 SHV 供应 商 ， 可 
以 通过 供应 商 主页 下 载 或 者 运行 供应 商 提供 的 CD-ROM 中 的 安装 程序 进行 安装 。 配 置 方法 与 其 他 类 型 强制 
相同 ， 详 细 操 作 请 参考 本 章 “ 配 置 IPSec 强制 ”中 的 相关 内 容 。 


4. 为 RADIUS 客户 端 配置 NAP 支持 


NAP 健康 策略 服务 器 已 经 为 远程 访问 VPN 完成 连接 配 
置 。 对 于 VPN 连接 ,用户 必 须 在 VPN 相应 的 RADIUS 客户 端 ” 曾 中 
属性 对 话 框 中 ， 选 中 “RADIUS 客户 端 支 持 NAP” 复 选 框 。 用 eri 


8 

户 也 可 以 从 “网 络 策略 管理 器 ”管理 单元 的 “RADIUS 客户 端 ” 
节点 中 更 改 RADIUS 客户 端的 属性 。 由 于 VPN 强制 配置 将 使 ”P22 | 
用 报告 模式 ， 不 符合 的 NAP 客户 端 拥有 不 受 限 的 访问 , 所 以 癌 ee 
用 户 在 启用 强制 模式 之 前 ， 可 能 需要 更 改 NAP 健康 策略 服务 i 
器 的 登录 入 站 请 求 。 2 

在 “网 络 策略 服务 器 ”管理 单元 中 ， 依 次 展开 “NPS([ 本 | se 
地 ]” 一 “RADIUS 客户 端 和 服务 器 ”一 “RADIUS 客户 端 ” 节 esseess mm 


厂 heeesrieevest 消息 心 采 包 言 Wessner-huthentiestor 属性 


点 。 右 击 名 称 为 VPN 的 RADIUS 客户 端 ， 选 择 快捷 菜单 中 的 局 man ph 0 
“属性 ” 命令， 显示 如 图 14-105 所 示 的 “vpn 属性 ”对 话 框 ， CE ww | snwl| 
选中 “RADIUS 客户 端 支持 NAP” 复 选 框 。 


图 14-105 “vpn 属性 ”对 话 框 
14.3.3 配置 NAP 客户 端 


由 于 VPN 客户 端 建立 到 VPN 服务 器 的 连接 之 前 , 需要 先 通过 NPS 服务 器 的 健康 评估 , 所 以 与 常规 VPN 
客户 端 配置 有 所 不 同 。 配 置 NAP 客户 端的 基本 步骤 如 下 。 
”下 载 客户 端 计算 机 证 书 
安装 SHA 
创建 和 配置 VPN 客户 端 
通过 组 策略 配置 可 管理 的 NAP 客户 端 
1. 下 载 验证 证 书 
客户 端 计算 机 必须 登录 域 中 的 CA， 获 取 所 需 的 验证 证 书 。 
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第 14 章 NAP 应 用 技术 


@ 打开 下 浏览 器 ,按照 http://CA 服务 器 /certsrv 方式 登录 CA， 显示 如 图 14-106 所 示 窗口 。 


© 注意 : 集成 在 域 控制 器 上 的 CA， 黑 认 情况 下 ， 已 禁止 “允许 匿名 访问 ” 方式， 此 时 可 以 联系 域 管理 员 ， 
登录 证 书 服务 器 ， 并 在 IIS 管理 器 中 ， 启 用 CA 站 点 以 及 Certsrv 目录 的 “允许 匿名 访问 ”身份 验证 方式 。 


@ 单 击 “ 下 载 CA 证 书 、 证 书 链 或 CRL” 链接 ， 显 示 如 图 14-107 所 示 的 下 载 CA 证 书 、 证 书 链 或 CRL 
窗口 。 单 击 “下 载 CA 证 书 ” 超 级 链接 ， 显 示 “ 文 件 下 载 -安全 警告 ”对 话 框 。 


| 要 me es wn dO. | 


人 IN | ee 日 "OIA 


使 用 此 网 站 为 多 的 Web 列 光 器 、 中 子 闻 伯 喜 户 沈 基 其 他 查 序 申请 证 书 ， 通 过 使 用 征 书 
到 Web 进行 通信 的 用 户 确认 低 的 身份 、 和 各 并 加 字 闻 件 ， 有人 人 


爸 电 可 以 使 用 此 网 站 下 可 下 书生 发 仙 有 (CA) 正 书 ， 还 书 适 ,长征 书 必 笨 列表 (CRL) , 芭 老 得 直 汉 起。 
用 请 的 欠 态 ， 


有 关 Active Directory 证 书 服 务 的 外遇 介 息 请 参阅 Active Directory 三 和 和 务 六 所 
一 个 任务 : 


由 请 的 状 赤 
下 载 CA 证 书 、 证 包 傅 或 CR 


图 14-106 ”登录 证 书 服务 器 图 14-107 下 载 CA 证 书 、 证 书 链 或 CRL 窗口 


图 可 以 单 击 “ 保 存 ” 按 钮 ， 先 将 证 书 保存 到 本 地 计算 机 ， 然 后 再 安装 到 相应 的 目录 下 ; 也 可 以 单 击 
“打开 ”按钮 ， 直 接 开始 安装 。 
安装 过 程 中 需要 注意 的 是 ， 在 “证 书 存储 ”步骤 ， 需 要 选择 “将 所 有 的 证 书 放 入 下 列 存储 ” 单 选 按钮 ， 
并 单 击 “浏览 ” 按钮 ， 打开 “选择 证 书 存储 ”对 话 框 ,选择 “受信 任 的 根 证 书 颁发 机 构 ” 目 录 ， 如 图 10-108 
所 示 。 


2. 创建 和 配置 VPN 客户 端 


VPN 客户 端 连 接 的 创建 比较 简单 ， 详 细 操作 过 程 可 参考 本 书 第 11 章 中 的 相关 介绍 ， 此 处 不 复 效 述 。 
配置 VPN 强制 时 ， 注 意 客户 端 身份 验证 协议 是 否 正确 ， 应 确保 与 VPN 服务 器 完全 一 致 ， 否 则 将 无 法 建立 
连接 。 

@ 在 “网 络 连接 ”窗口 中 ， 右 击 创建 的 VPN 连接 :选择 快捷 菜单 中 的 “属性 ”命令 , 打开 “coolpen 

属性 ”对 话 框 。 切 换 至 “安全 ”选项 卡 ， 选 择 “ 高 级 ( 自 定义 设置 )” 单 选 按钮 ， 如 图 14-109 所 示 。 
@ 单 击 “设置 ” 按钮 显示 如 图 14-110 所 示 的 “高 级 安全 设置 ”对 话 框 ， 在 “数据 加 密 ” 下 拉 列 表 
框 中 选择 “需要 加 密 (如 果 服 务 器 拒绝 将 断 开 连接 ] ”选项 , 选择 “使 用 可 扩展 的 身份 验证 协议 (EAP)” 
单 选 按钮 ， 并 选择 下 拉 列 表 框 中 的 “ 受 保护 的 EAP(PEAP)” 选 项 。 

回 单 击 “ 属 性 ”按钮 ， 显 示 如 图 14-111 所 示 的 “ 受 保护 的 EAP 属性 ”对 话 框 ， 取 消 选 中 “连接 到 
这 些 服务 器 ” 复 选 框 。 选 中 “验证 服务 器 证 书 ” 复 选 框 ， 在 “受信 任 的 根 证 书 颁发 机 构 ” 列 表 框 
中 ， 会 发 现 已 经 安装 的 证 书 颁发 机 构 。 在 “选择 身份 验证 方法 ”下 拉 列 表 框 中 ， 选 择 “ 安 全 密码 
(EAP-MSCHAP v2)” 选 项 。 选 中 “启用 隔离 检查 ” 复 选 框 。 
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图 14-108 “证 书 存储 ”界面 
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图 14-110 “高 级 安全 设置 ”对 话 框 


3. 通过 组 策略 配置 NAP 客户 端 


对 于 可 管理 的 NAP 客户 端 , 管理 员 可 以 使 用 组 策略 
进行 NAP 客户 端的 设置 ， 主 要 包括 如 下 步骤 。 


配置 NAP 客户 端 设 置 

启用 Windows 安全 中 心 (请 参考 IPSec NAP 客 
户 端的 配置 ] 

配置 网 络 访问 保护 代理 服务 的 自动 启用 (请 参 
考 IPSecNAP 客户 端的 配置 ] 


在 “组 策略 管理 器 ”管理 单元 中 ， 依 次 展开 “计算 机 
配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 
“网 络 访问 保护 ”一 “NAP 客户 端 配置 ”节点 ， 双 击 “ 远 
程 访问 隔离 强制 客户 端 ”， 显 示 如 图 14-112 所 示 的 “ 远 
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口 要 入 加 认 和 吉 断 开 ) 0) 


图 14-109 “安全 ”选项 卡 


三 烛 虹 取 务 吕 不 在 cryptobandiae TY 上 用 壬 阁 0) 


CE na | 


图 14-111 “ 受 保护 的 EAP 属性 ”对 话 框 


图 14-112 “远程 访问 隔离 强制 客户 端 属性 ”对 话 框 
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程 访问 隔离 强制 客户 端 属性 ”对 话 框 ， 选 中 “启用 此 强制 客户 端 ” 复 选 框 。 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 


14.3.4 测试 受 限 VPN 客户 端的 访问 


在 启用 强制 模式 之 前 ， 用 户 必须 测试 不 符合 的 NAP 客户 端的 受 限 访问 ， 以 确保 其 可 以 被 提示 未 通过 评 
估 的 原因 ， 并 且 只 能 访问 受 限 网 络 中 的 补救 服务 器 。 
@ 在 “网 络 连接 ”窗口 中 ， 双 击 VPN 连接 ， 输 入 用 户 名 和 密码 并 单 击 “ 确 定 ”按钮 ， 即 可 尝试 连接 
到 VPN 服务 器 。 由 于 已 经 设置 健康 策略 验证 , 所 以 VPN 客户 端 必须 先 提供 验证 证 书 , 如 图 14-113 
所 示 。 
回 ” 单 击 “ 确 定 ”按钮 ， 尝 试 连接 到 VPN 服务 器 。 此 时 ， 由 于 防火 墙 设置 不 符合 健康 策略 要 求 ， 任 务 
栏 中 会 显示 “此 计算 机 不 符合 该 网 络 的 要 求 ”信息 ， 如 图 14-114 所 示 。 


mann 
a 


图 14-113 “验证 服务 器 证 书 ” 对 话 框 图 14-114 ”此 计算 机 不 符合 该 网 络 的 要 求 


@ 单 击 信息 提示 框 ， 显示 如 图 14-115 所 示 的 “网 络 访问 保护 ”对 话 框 。 当 前 验证 结果 为 “未 成 功 ”， 
修正 结果 为 “管理 员 必须 启用 与 Windows 安全 中 心 兼容 的 防火 墙 程 序 ”。 

@ 根据 提示 信息 ， 启 用 Windows 防火 墙 后 ， 任 务 栏 中 将 自动 显示 如 图 14-116 所 示 的 提示 信息 “此 
计算 机 符合 该 网 络 的 要 求 ”。 


图 14-115 “网 络 访问 保护 ”对 话 框 图 14-116 ”此 计算 机 符合 该 网 络 的 要 求 
@@ ”此 时 单 击 信息 框 ， 显示 如 图 14-117 所 示 的 “您 的 计算 机 符合 该 网 络 的 要 求 ”界面 ， 即 完全 符合 健 
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康 策 略 的 要 求 。 


图 14-117 “您 的 计算 机 符合 该 网 络 的 要 求 ”界面 


14.3.5 配置 强制 模式 网 络 策略 


管理 员 为 不 符合 的 NAP 客户 端的 受 限 访问 配置 和 测试 了 网 络 策略 之 后 ， 即 可 启用 强制 模式 。 用 户 可 以 
修改 网 络 策略 副本 ， 并 且 为 “配置 NAP 向 导 ” 创 建 的 不 符合 的 NAP 客户 端 禁 用 初始 网 络 策略 。 在 强制 模 
式 的 期 限 之 内 ， 配 置 NAP 健康 策略 服务 器 上 的 强制 模式 。 


1. 配置 强制 模式 


@ 在 “网 络 策略 服务 器 ”管理 单元 中 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 双 击 不 符合 的 NAP 
客户 端的 网 络 策略 副本 ， 显 示 “ 副 本 NAP VPN 不 符合 属性 ”对 话 框 。 切 换 至 “条 件 ”选项 卡 ， 
在 “和 条件” 列表 中 ， 选 择 “Windows 组 ”选项 ， 然 后 单 击 “ 删 除 ” 按 钮 。 如 图 14-118 所 示 。 
@ 切换 至 “设置 ”选项 卡 ， 在 “网 络 访问 保护 ”区 域 ， 选 择 “NAP 强制 ”选项 ， 在 右 侧 主 窗口 中 选 
中 “启用 客户 端 计算 机 的 自动 更 新 功能 ” 复 选 框 ， 如 图 14-119 所 示 。 


图 14-118 “条 件 ”选项 卡 图 14-119 “设置 ”选项 卡 
图 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 返 回 “ 网 络 策略 ”窗口 ， 删 除 已 经 创建 的 不 符合 的 NAP 客户 端的 
原始 网 络 策略 即 可 。 


此 时 ， 用 户 用 于 测试 不 符合 的 NAP 客户 端的 网 络 策略 ， 将 应 用 于 所 有 NAP 客户 端 上 ， 并 且 删 除 原始 
的 不 符合 的 NAP 客户 端的 网 络 策略 。 
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2. 限制 非 NAP 客户 端的 访问 


为 了 限制 不 支持 NAP 的 客户 端的 访问 ， 在 强制 模式 下 ， 用 户 必 须 为 不 支持 NAP 的 客户 端的 受 限 访问 
配置 网 络 策略 。 因 为 不 符合 的 NAP 客户 端的 网 络 策略 副本 已 经 配置 好 ， 并 且 经 过 了 测试 ， 管 理 员 可 以 为 不 
支持 NAP 的 客户 端 复制 然后 修改 该 策略 。 在 新 策略 的 “条 件 ” 选 项 卡 中 ， 单 击 “ 添 加 ”按钮 ， 显 示 “ 选 择 
条 件 ” 对 话 框 ， 选 择 “支持 NAP 的 计算 机 ”选项 ， 单 击 “ 添 加 ”按钮 ， 显 示 “ 支 持 NAP 的 计算 机 ”对 话 
框 ， 选 择 “ 仅 限 不 支持 NAP 的 计算 机 ” 单 选 按钮 ， 如 图 14-120 所 示 。 


EE | 
对 丘 一 个 系 作 ， 再 理 “ 洒 要 "， 


EE 册 和 smrrweepamhasmnasFe 二 Pa 


ET 
[sb 


志和 ee 
和 
于 NA 
党 开 拉 


图 14-120 “选择 条 件 ” 对 话 框 


连续 两 次 单 击 “ 确 定 ”按钮 ， 返 回 “ 条 件 ” 选 项 卡 ， 删 除 原 有 的 “健康 策略 ”条 件 。 在 “网 络 策略 ” 
窗口 中 ， 将 编辑 后 的 新 策略 ， 移 动 到 原始 网 络 策略 之 上 即 可 。 


14.4 配置 DHCP 强制 


NAP DHCP 强制 的 目的 是 在 DHCP 客户 端 租借 或 续 订 其 IP 地 址 时 ， 执 行 客户 端 健康 检查 ， 根 据 评估 结 
果 为 其 分 配 相应 作用 域 的 IP 地 址 。 通 常情 况 下 ， 需 完成 下 列 配置 。 

”在 NPS 中 ， 配 置 连接 请 求 策略 、 网 络 策略 和 NAP 健康 策略 。 可 以 使 用 NPS 控制 台 单独 配置 这 些 
策略 ， 也 可 以 使 用 新 建 网 络 访问 保护 向 导 。 
在 可 用 NAP 的 客户 端 计算 机 上 启用 DHCP 强制 客户 端 和 NAP 服务。 
在 DHCP 控制 台中 ， 为 各 个 作用 域 或 在 DHCP 服务 器 上 配置 的 所 有 作用 域 启 用 NAP。 
配置 网 络 策略 服务 器 上 的 SHV。 
配置 更 新 服务 器 组 。 


14.4.1 配置 NAP 健康 策略 服务 器 


与 配置 其 他 强制 类 型 的 NPS 服务 器 相同 ， 首 先 必 须 安装 NPS 服务 器 角色 ， 然 后 安装 和 配置 SHV。 由 于 
NAP DHCP 强制 使 用 的 是 NPS 服务 器 集成 的 Windows 安全 健康 验证 程序 (WSHV])， 所 以 无 须 安装 SHV。 


1. 配置 RADIUS 服务 器 设置 


由 于 DHCP 服务 器 在 配置 DHCP 强制 之 前 ， 不 需要 使 用 RADIUS 验证 即 可 分 配 IPv4 地 址 ， 所 以 NAP 
健康 策略 服务 器 通常 没有 将 DHCP 服务 器 配置 为 RADIUS 客户 端 。 用 户 必 须 通过 NPS 管理 单元 添加 DHCP 
服务 器 到 NAP 健康 策略 服务 器 上 。 当 在 “新 建 RADIUS 客户 端 ” 对话 框 中 ， 配 置 RADIUS 客户 端 时 ， 必 须 
选中 “RADIUS 客户 端 启用 NAP” 复 选 框 。 
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此 外 由 于 DHCP 强制 配置 将 使 用 报告 模式 ， 不 符合 的 NAP 客户 端 拥有 不 受 限 的 访问 ， 所 以 用 户 在 启用 
强制 模式 之 前 可 能 需要 更 改 NAP 健康 策略 服务 器 的 登录 入 站 请 求 . 用 户 可 以 配置 NPS 服务 记录 入 站 请 求 和 
记 账 信息 在 本 地 SQL 服务 器 数据 库 文件 中 。 
2. 为 DHCP 强制 配置 健康 要 求 策略 
用 户 可 以 手动 或 者 通过 “配置 NAP 向 导 ” 为 DHCP 强制 创建 健康 要 求 策略 。 由 于 通过 “配置 NAP 向 
导 ” 进 行 的 配置 为 自动 完成 的 ， 所 以 推荐 使 用 这 种 方法 。 
@ 打开 “网 络 策略 管理 器 ”窗口 , 单 击 NPS, 在 “标准 配置 ”下 拉 列 表 框 中 选择 “网 络 访问 保护 (NAP)” 
选项 。 单 击 “ 配 置 NAP” 命 令 ， 显示 如 图 14-121 所 示 的 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ” 
界面 ， 在 “网 络 连 接 方 法 ”下 拉 列 表 中 ， 选 择 “ 动 态 主机 配置 协议 (DHCP)”， 在 “策略 名 称 ” 文 
本 框 中 ， 默 认 名 称 为 NAP DHCP， 用 户 也 可 以 自 定义 。 

@ 单 击 “ 下 一 步 ” 按 钮 。 显示 如 图 14-122 所 示 的 “指定 NAP 强制 服务 器 运行 DHCP 服务 器 ”界面 。 
单 击 “添加 ”按钮 ， 即 可 添加 符合 启用 NAP 的 DHCP 服务 器 的 RADIUS 客户 端 。 


及 选择 与 NAP 一 起 使 用 的 网 络 连 接 方法 肌 指定 NAP 强制 服务 器 运行 DHCP 服务 器 
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图 14-121 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”界面 图 14-122 “指定 NAP 强制 服务 器 运行 
DHCP 服务 器 ”界面 


图 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 14-123 所 示 的 “指定 DHCP 作用 域 ”界面 ， 单 击 “ 添 加 ”按钮 ， 
为 健康 要 求 策略 添加 标识 DHCP 作用 域 的 配置 文件 名 称 。 不 管 创建 任何 名 称 ， 都 对 DHCP 服务 器 
上 的 所 有 作用 域 启用 DHCP 强制 。 

@ 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 配 置 用 户 组 和 计算 机 组 ”对 话 框 ， 根 据 需 要 选择 计算 机 或 组 。 单 击 
“下 一 步 ” 按 钮 ， 显 示 如 图 14-124 所 示 的 “指定 NAP 更 新 服务 器 组 和 URL” 界 面 。 单 击 “新 建 

组 ”按钮 ， 创 建新 的 更 新 服务 器 组 ， 并 将 准备 好 的 各 种 更 新 服务 器 添加 到 组 中 即 可 。URL 疑难 解答 

主要 用 于 帮助 新 用 户 认识 和 理解 NAP 健康 策略 ， 用 户 可 以 根据 实际 情况 决定 是 否 使 用 此 项 设置 。 

回 单 击 “ 下 一 步 ”按钮 ， 显 示 “ 定 义 NAP 健康 策略 ”对 话 框 ， 选 择 DHCP 强制 需要 评估 的 SHV。 选 
中 “启用 客户 端 计算 机 的 自动 更 新 ” 复 选 框 ， 并 选择 “允许 对 不 具有 NAP 功能 的 客户 端 计算 机 的 
完全 网 络 访问 权限 ” 单 选 按钮 ， 使 不 支持 NAP 功能 的 客户 端 拥有 受 限 访问 。 因 为 用 户 想 要 最 初 的 
NAP 强制 模式 为 报告 模式 ， 所 以 必须 选择 “允许 对 不 具有 NAP 功能 的 客户 端 计算 机 的 完全 网 络 访 
问 权限 ” 单 选 按钮 。 在 配置 强制 模式 的 过 程 中 ， 用 户 可 以 为 不 具有 NAP 功能 的 客户 端 更 改 网 络 策 
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略 来 限制 访问 。 


指定 NAP 更 新 服务 器 组 和 URL 


图 14-123 “指定 DHCP 作用 域 ” 界面 图 14-124 “指定 NAP 更 新 服务 器 组 和 URL” 界 面 


单 击 “ 下 一 步 ”按钮 ， 显 示 “ 正 在 完成 NAP 增强 策略 和 RADIUS 客户 端 配置 ”对 话 框 ， 提 示 由 该 
向 导 创建 的 各 种 策略 以 及 RADIUS 客户 端 和 更 新 服务 器 组 。 
@ 单 击 “ 完 成 ”按钮 ， 关 闭 “ 配 置 NAP” 向 导 。 
“配置 NAP 向 导 ” 创 建 的 连接 请 求 策略 和 网 络 策略 位 于 各 自 顺序 列表 的 底部 。 由 于 不 符合 的 NAP 客 
户 端 网 络 策略 默认 情况 下 只 允许 受 限 访问 (强制 模式 )， 用 户 必须 修改 该 策略 使 之 允许 报告 模式 下 的 不 受 限 
访问 。 


3. 为 系统 健康 要 求 配置 评估 条 件 


中 打开 “网 络 策略 服务 器 ”窗口 ， 依 次 展开 “策略 ”一 “健康 策略 ”节点 ， 如 图 14-125 所 示 。 右 侧 栏 
中 显示 了 通过 配置 NAP 向 导 创建 的 健康 策略 , 包括 “NAP DHCP 符合 ”和 “NAP DHCP 不 符合 ”两 条 。 
回 双击 “NAP DHCP 不 符合 ”健康 策略 ， 显 示 如 图 14-126 所 示 的 “NAP DHCP 不 符合 属性 ”对 话 框 。 
根据 实际 需要 ， 在 “客户 端 SHV 检查 ”下 拉 列 表 框 中 选择 相应 级 别 的 标准 ， 如 “客户 端 未 能 通过 一 
个 或 多 个 SHV 检查 ”等 。“NAP DHCP 符合 ”健康 策略 的 条 件 设置 与 之 完全 相同 ， 此 处 不 复 效 述 。 


4. 允许 免除 安全 组 完全 访问 


在 准备 工作 中 ， 已 经 在 域 中 创建 了 免除 安全 组 ， 并 将 需要 免除 的 计算 机 添加 到 组 中 。 在 网 络 策略 服务 
器 上 ， 必 须 为 这 些 计算 机 创建 单独 的 网 络 访问 策略 ， 使 其 免除 DHCP 强制 。 

人 @ 打开 “网 络 策略 服务 器 ”窗口 ， 依 次 展开 “策略 ”一 “网 络 策略 ”节点 。 右 击 “配置 NAP 向 导 ” 
为 符合 的 NAP 客户 端 创建 DHCP 网 络 策略 ， 在 弹出 的 快捷 菜单 中 选择 “重复 策略 ”选项 ， 可 以 看 
到 副本 ， 默 认 是 禁用 的 ， 如 图 14-127 所 示 。 

@ 双击 “副本 NAP DHCP 符合 ”选项 ， 显 示 如 图 14-128 所 示 的 “副本 NAP DHCP 符合 属性 ”对 话 
框 。 在 “概述 ”选项 卡 中 ， 可 以 重新 定义 策略 名 称 ， 例 如 “DHCP 免除 安全 组 ”。 在 “策略 状态 ” 
区 域 ， 选 中 “策略 已 启用 ” 复 选 框 ， 并 选择 “授予 访问 权限 ” 单 选 技 钮 。 

图 切换 至 “条 件 ” 选 项 卡 ， 单 击 “ 添 加 ”按钮 ， 显 示 “ 选 择 条 件 ” 对 话 框 。 选 择 “Windows 组 ” 选 
项 并 单 击 “ 添 加 ”按钮 ， 显 示 “Windows 组 ”对 话 框 ， 将 创建 好 的 免除 安全 组 添加 进来 即 可 ， 如 
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图 14-129 所 示 。 
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CD 
图 14-125 “网 络 策略 服务 器 ”窗口 图 14-126 “NAP DHCP 不 符合 属性 ”对 话 框 
过 同 络 策略 服 务 器 
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图 14-127 “网 络 策略 服务 器 ”窗口 图 14-128 “副本 NAP DHCP 符合 属性 ”对 话 框 


ET | 


Dod 


i eas 


ase 


图 14-129 “条 件 ”选项 卡 
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图 连续 单 击 “确定 ”按钮 ， 保 存 设置 。 同 时 在 “条 件 ”选项 卡 中 删除 除 默 认 “ 健 康 策略 ”之 外 的 所 
有 条 件 。 

回 在 “网 络 策略 ”窗口 中 ， 将 用 于 免除 安全 组 的 健康 策略 移动 到 最 前 端 ， 以 确保 对 所 有 客户 端 先 实 
施 此 策略 评估 。 


14.4.2 配置 NAP 客户 端 


与 其 他 类 型 的 NAP 客户 端 类 似 ， 管 理 员 可 以 通过 多 种 方式 配置 NAP 客户 端 。 如 果 客 户 端 是 域 成 员 计 
算 机 ， 则 可 以 借助 组 策略 统一 部 署 ， 如 果 是 独立 计算 机 ， 则 可 以 通过 修改 客户 端 计算 机 的 本 地 策略 完成 。 
主要 配置 操作 如 下 。 

”配置 NAP 客户 端 设置 

和 ”启用 Windows 安全 中 心 (请 参考 IPSec NAP 客户 端的 配置 ) 

”配置 网 络 访问 保护 代理 服务 的 自动 启用 (请 参考 IPSec NAP 客户 端的 配置 ) 

需要 注意 的 是 ，DHCP NAP 强制 客户 端 中 需要 配置 的 “DHCP 隔离 强制 客户 端 ”， 系 统 默认 是 禁用 ,用 
户 只 需 借助 组 策略 或 其 他 手段 ， 启 用 该 功能 即 可 ， 如 图 14-130 所 示 。NAP 客户 端的 其 他 配置 与 VPN 强制 
客户 端 、IPSec 强制 客户 端 完 全 相同 ， 此 处 不 复 效 述 。 


义 伯 四 操作 各 二 看 如 如 莉 好 
因 只 | 为 [中 | 旧 同 
了 


in Patisy [vi wae cm 


本 
加 二 三 于 生 遇 的 CS 

十 国 管理 这 析 ， 从 太志 计算 必 信 草 

本 一 


图 14-130 配置 NAP 客户 端 


14.4.3 将 DHCP 服务 器 配置 为 RADIUS 客户 端 


NPS 服务 器 之 所 以 能 够 响应 客户 端的 DHCP 请 求 ,评估 系统 健康 程度 ,原因 是 基于 NPS 服 务 器 的 RADIUS 
服务 器 ， 在 中 间 起 了 至 关 重 要 的 转发 作用 。 因 此 ， 必 须 先 将 DHCP 服务 器 配置 为 RADIUS 服务 器 的 客户 端 。 
@ 打开 “网 络 策略 服务 器 ”窗口 ， 依 次 展开 “RADIUS 客户 端 和 服务 器 ”一 “RADIUS 客户 端 ”节点 ， 
显示 如 图 14-131 所 示 的 窗口 。 由 于 在 配置 NPS 服务 器 的 网 络 策略 时 ， 已 经 将 DHCP 服务 器 设置 

为 RADIUS 客户 端 ， 所 以 此 时 并 不 支持 NAP。 
回 右 击 RADIUS 客户 端 ， 选 择 “属性 ”命令 ， 显 示 如 图 14-132 所 示 的 “DHCP 属性 ”对 话 框 。 选 中 
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“启用 此 RADIUS 客户 端 ” 和 “RADIUS 客户 端 支持 NAP” 复 选 框 。 其 他 选项 保持 默认 设置 即 可 。 
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图 14-131 “网 络 策略 服务 器 ”窗口 图 14-132 “DHCP 属性 ”对 话 框 


14.4.4 ”配置 DHCP 服务 器 选项 


当 DHCP 服务 器 被 配置 为 NPS 服务 器 , 或 者 所 在 网 络 中 新 增 NPS 服务 器 后 ， 原 有 DHCP 服务 将 被 新 的 
包含 NPS 功能 的 组 件 所 取代 ， 管 理 员 需 要 对 NPS 涉及 的 DHCP 选项 进行 重新 配置 。 默 认 状态 下 ，NPS 关联 
的 组 件 没有 启用 。 

1. 配置 作用 域 

NPS 安装 完成 后 ， 在 DHCP 作用 域 属性 中 ， 添 加 了 一 项 “网 络 访问 保护 ”选项 卡 ， 默 认 情况 下 ， 该 设 
置 没 有 启用 ， 需 要 网 络 管理 员 启 用 。 

在 DHCP 管理 窗口 中 ， 依 次 展开 “]xh-2008.coolpen.net( 服 务 器 名 称 )” 一 IPv4 节点 ， 显 示 当 前 DHCP 
上 的 所 有 作用 域 。 首 先 ， 右 击 想 要 配置 网 络 安全 防护 的 作用 域 并 选择 “属性” 命令， 打开 “作用 域 属性 ” 
对 话 框 ， 然 后 切换 至 “网 络 访问 保护 ”选项 卡 。 在 “网 络 访问 保护 设置 ”选项 区 中 ， 选 择 “ 对 此 作用 域 启 
用 ” 单 选 按钮 ， 如 图 14-133 所 示 。 如 果 在 NPS 服务 器 上 设置 了 标识 作用 域 配置 文件 的 名 称 ， 则 可 以 选择 
“使 用 自 定义 配置 文件 ” 单 选 按钮 ， 并 在 “配置 文件 名 ”文本 框 中 ， 输 入 指定 的 名 称 。 

需要 注意 的 是 ， 如 果 此 服务 器 同时 提供 IPv6 下 的 DHCP 服务 ， 则 还 需要 在 IPv6 的 所 有 作用 域 中 执行 
相同 操作 。 

2. 配置 服务 器 选项 

NAP 通过 新 的 NAP“ 用 户 类 作用 域 ” 选 项 ， 使 计算 机 在 同一 作用 域内 的 受 限 网 络 和 不 受 限 网 络 访问 之 
间 切 换 。 在 为 状态 不 良 的 客户 端 计算 机 提供 租约 时 , 会 使 用 这 组 特殊 的 作用 域 选项 (DNS 服务 器 、DNS 域名 、 
路 由 器 等 )。 例如， 提供 给 状态 良好 的 客户 端的 默认 DNS 后 缀 为 coolpen.net， 而 给 状态 不 良 的 客户 端 提 供 
的 DNS 后 级 为 unsafecoolpen.net。 

@ 在 DHCP 管理 窗口 中 ,依次 展开 DHCP 一 “lxh-2008.coolpen.net( 服 务 器 名 )” 一 IPv4 一 “服务 器 选 

项 ”节点 ， 右 击 “ 服 务 器 选项 ”并 选择 快捷 菜单 中 的 “配置 选项 ”选项 ， 显 示 如 图 14-134 所 示 的 
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“服务 器 选项 ”对 话 框 。 


图 14-133 配置 DHCP 作用 域 


@ 切换 至 “高 级 ”选项 卡 ， 在 “供应 商 类 别 ” 下 拉 列 表 中 ， 选 择 “DHCP 标准 选项 ”选项 ; 在 “用 
户 类 别 ” 下 拉 列 表 框 中 ， 选 择 “ 默 认 的 网 络 访问 保护 级 别 ” 选 项 ， 如 图 14-135 所 示 。 


图 14-134 “服务 器 选项 ”对 话 框 图 14-135 “高 级 ”选项 卡 


图 在 “可 用 选项 ”列表 中 ， 选 中 “003 路 由 器 ” 复 选 框 ， 在 “IP 地 址 ”文本 框 中 ， 输 入 网 络 中 路 由 
器 使 用 的 IP 地 址 ， 例 如 192.168.0.3， 单 击 “ 添 加 ”按钮 。 如 果 网 络 中 有 多 个 路 由 器 ， 可 以 青 次 
添加 。 如 果 发 现 路 由 器 的 顺序 错误 ， 则 可 以 单 击 “ 向 上 ”或 者 “向 下 ”按钮 ， 调 整 路 由 器 的 顺序 ， 
如 图 14-136 所 示 。 

@ 在 “可 用 选项 ”列表 中 ， 选 中 “006 DNS 服务 器 ” 复 选 框 ， 在 “IP 地 址 ”文本 框 中 ， 输 入 网 络 中 
DNS 服务 器 使 用 的 IP 地址 ， 单 击 “ 添 加 ”按钮 。 如 果 网 络 中 有 多 个 DNS， 可 以 逐次 添加 。 如 果 发 
现 DNS 服务 器 的 顺序 错误 ， 则 可 以 单 击 “ 向 上 ”或 者 “向 下 ”按钮 ， 调 整 DNS 服务 器 的 顺序 ， 
如 图 14-137 所 示 。 
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图 14-136 003 路 由 器 图 14-137 006 DNS 服务 器 
图 在 “可 用 选项 ”列表 中 ， 选 中 “015 DNS 域名 ” 复 选 框 ， 在 “数据 项 ”选项 区 域 的 “字符 申 值 ” 
文本 框 中 ， 输 入 临时 的 DNS 域名 ， 如 图 14-138 所 示 。 


提示 : 临时 域 的 域名 和 DHCP 安装 过 程 创 建 的 域名 不 同 ， 没 有 实际 的 作用 ， 只 是 方便 网 络 管理 员 区 分 连 
到 网 络 中 的 计算 机 哪些 是 安全 的 ， 哪 些 是 不 安全 的 。 例如， 如 果 计 算 机 是 安全 的 ， 则 使 用 coolpen net 域 
名 ; 如 果 计算 机 是 不 安全 的 ， 则 使 用 这 里 指定 的 unsafecoolpen net 域名 。 


单 击 “ 确 定 ”按钮 ， 完 成 服务 器 选项 的 设置 ， 如 图 14-139 所 示 。 


图 14-138 015 DNS 域名 图 14-139 配置 完成 后 的 作用 域 选 项 


14.4.5 测试 DHCP 强制 客户 端 


测试 DHCP 强制 配置 结果 是 否 成 功 ， 只 需 在 指定 客户 端 上 修改 其 安全 配置 ， 使 其 符合 健康 策略 和 不 符 
合 安全 健康 策略 ， 然 后 查看 其 获取 的 IP 地 址 类 型 即 可 。 


如 果 客 户 端 在 关闭 系统 防火 墙 或 者 没有 安装 最 新 更 新 补丁 的 情况 下 ， 登 录 域 控制 器 ， 或 者 登录 域 后 关 
闭 了 某 些 Windows 安全 功能 ， 则 此 时 任务 栏 中 会 提示 如 图 14-140 所 示 的 信息 ， 提 示 “ 此 计算 机 不 符合 该 
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网 络 的 要 求 ”， 证 明 NAP 服务 器 开始 发 挥 作用 。 

此 时 该 客户 端 不 能 继续 访问 网 络 中 的 某 些 服务 器 或 计算 机 。 单 击 提示 信息 ,打开 如 图 14-141 所 示 的 “网 
络 访问 保护 ”对 话 框 。 该 窗口 中 提示 当前 客户 端 未 能 通过 网 络 策略 检测 的 原因 ， 并 给 出 解决 问题 的 方案 。 
这 些 提示 方法 就 是 系统 健康 策略 模板 中 管理 员 设 定 的 处 理 操作 。 


r 
| DAA = 
rs 
家 网络 访 同 汉 限 人 县 审 ， 请 半 二 “重工”。 
司 Windows 安全 全 代理 nih 
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图 14-140 不 符合 策略 要 求 的 客户 端 图 14-141 “网 络 访问 保护 ”对 话 框 


打开 命令 提示 符 窗口 ， 输 入 IPconfig /renew 命令 ， 重 新 获取 IP 地 址 ， 再 使 用 ipconfig 命令 ， 查 看 当 
前 卫 地 址 , 显示 如 图 14-142 所 示 的 结果 .在 DHCP 服 务 器 上 为 不 安全 客户 端 分 配 的 耳 地 址 是 192.168.2.10 一 
192.168.2.100， 而 此 次 测试 中 获取 的 IP 地 址 是 192.168.2.11， 恰 恰 是 该 范围 内 的 地 址 。 


管理 员 : C\Windows\system32\cmd.exe =|Dj xj 
CT tion。 保 


图 14-142 作为 不 安全 客户 端 时 获取 的 IP 地址 
用 户 可 以 根据 提示 信息 尝试 解决 相关 问题 ， 如 开启 系统 防火 墙 、 恶 意 软件 保护 功能 或 将 系统 升级 到 最 
新 等 。 处 理 完毕 后 ， 任 务 栏 中 会 出 现 如 图 14-143 所 示 的 提示 信息 。 
此 时 ， 单 击 “ 此 计算 机 符合 该 网 络 的 要 求 ”提示 信息 ， 会 显示 如 图 14-144 所 示 的 “网 络 访问 保护 ”对 
话 框 ， 可 以 发 现 已 具有 完全 的 网 络 访问 权限 。 
重新 获取 IP 地 址 ， 并 使 用 ipconfig 命令 查看 ， 显 示 如 图 14-145 所 示 的 结果 。 此 次 获取 的 IP 地 址 是 
192.168.1.101， 与 DHCP 服务 器 上 指定 的 192.168.1.100~192.168.1.200 相符 ， 说 明 DHCP 强制 配置 成 功 。 
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图 14-144 “网 络 访问 保护 ”对 话 框 
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图 14-145 ”作为 安全 客户 端 时 获取 的 IP 地 址 


14.4.6 ”授权 非 NAP 客户 端的 访问 

在 启用 DHCP 强制 的 网 络 中 ， 默认 是 不 授予 非 NAP 客户 端 访问 权限 的 ， 即 网 络 中 的 类 似 用 户 将 无 法 获 
取 IP 地 址 ， 也 就 无 法 访问 网 络 。 为 确保 此 类 用 户 能 够 正常 获取 IP 地 址 ， 建 议 允许 其 完全 访问 网 络 。 与 其 
他 强制 类 型 配置 相同 ， 只 需 创 建 一 条 授权 访问 的 网 络 策略 ， 并 在 其 评估 “条 件 ” 中 添加 “支持 NAP 的 计算 
机 ” 即 可 。 
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系统 故障 和 网 络 攻击 的 发 生 是 不 可 预料 的 。 
系统 安全 措施 只 能 起 到 基本 的 防护 作用 ， 一 旦 发 生硬 件 
故障 或 者 严重 的 网 络 入 侵 ， 难 免 会 造成 数据 丢失 ， 甚 至 
导致 其 死机 ， 后 果 不 堪 设 想 。 因 此 ， 安 全 管理 员 必 需 做 
好 各 种 网 络 服务 的 日 常备 份 工作 。 如 果真 的 发 生 了 重大 
安全 故障 ， 短 时 间 内 难以 恢复 ， 则 完全 可 以 使 用 备份 数 
据 快速 恢复 。 


全 关键 词 
备份 活动 目录 数据 库 
备份 服务 状态 信息 
DHCP 服务 器 备份 
磁盘 配额 备份 
DNS 服务 器 备份 
WINS 服务 器 备份 
网 络 配 置 备份 
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15.1 备份 活动 目录 数据 库 


Active Directory 是 网 络 中 所 有 重要 信息 的 管理 者 ， 存 储 的 数据 包括 用 户 账户 、 计 算 机 、 打 印 机 、 应 用 
程序 、 安 全 性 与 系统 原则 等 各 种 信息 资源 。 因 此 ， 往 往 需 要 在 网 络 中 部 署 多 台 域 控制 器 ， 一 方面 可 以 相互 
分 担 网 络 负载 ， 更 重要 的 是 可 以 互 为 备份 ， 例 如 ， 额 外 域 控制 器 等 。 其 实 ， 仅 实施 这 些 方案 是 完全 不 够 的 ， 
最 安全 的 方法 就 是 定期 对 活动 目录 数据 库 进 行 离线 备份 ， 并 妥善 保管 存储 备份 的 服务 器 或 存储 介质 ， 以 备 
恢复 时 使 用 。 


15.1.1 活动 目录 数据 库 的 备份 


活动 目录 数据 库 的 数据 量 虽 然 不 像 文件 服务 器 那样 巨大 ， 但 却 十 分 重要 ， 存 储 着 网 络 上 所 有 用 户 账 户 
以 及 计算 机 等 网 络 资源 的 信息 ， 尤 其 是 在 单 域 控制 器 的 网 络 中 ， 其 重要 性 更 为 突出 。 百 密 难 免 一 朴 ， 没 有 
绝对 安全 的 系统 和 硬件 ， 最 好 的 方法 就 是 防 患 于 未 然 。 对 于 活动 目录 数据 库 而 言 ， 就 是 时 刻 做 好 备份 工作 ， 
如 果 条 件 允 许 还 可 以 多 制作 几 份 备份 ， 提 高 安全 性 。 万 一 发 生 严 重 故 障 ， 导 致 数据 丢失 或 损坏 ， 可 以 方便 
地 从 备份 中 还 原 该 数据 。 

1. 备份 功能 

备份 活动 目录 可 以 完成 以 下 数据 状态 的 迁移 。 
在 硬盘 上 选择 存档 的 文件 和 文件 夹 。 
将 存档 文件 和 文件 夹 还 原 到 硬盘 或 其 他 任何 可 以 访问 的 磁盘 上 。 
使 用 “自动 系统 故障 恢复 ”可 以 保存 和 还 原 系 统 故 障 中 所 恢复 的 所 有 系统 文件 和 配置 设置 。 
复制 所 有 远程 存储 数据 和 所 有 存储 在 已 装 入 的 驱动 器 中 的 数据 。 
为 所 在 计算 机 的 系统 状态 制作 副本 。 
创建 日 志 ， 记 录 所 备份 的 文件 以 及 备份 的 时 间 。 
备份 计算 机 在 此 计算 机 或 网 络 发 生 故 障 时 启动 系统 所 需 的 系统 分 区 、 启 动 分 区 和 文件 。 
计划 并 定期 备份 ， 保 持 存档 数据 是 最 新 的 。 
“备份 ”还 可 以 执行 简单 的 媒体 管理 功能 ， 如 格式 化 。 更 高 级 的 管理 任务 (如 装载 和 卸载 磁带 或 磁 
盘 等 ] 将 由 称 为 “可 移动 存储 ”的 服务 来 完成 。 
2. Windows Server Backup 


Windows Server Backup 是 Windows Server 2008 系统 的 新 增 功 能 之 一 ， 取 代 了 原 Windows 系统 中 的 
附带 的 备份 功能 (Ntbackup.exe]。Windows Server Backup 可 以 为 用 户 的 日 常备 份 和 恢复 提供 更 为 完整 的 方 
案 和 计划 ， 既 可 以 备份 整个 服务 器 (所 有 卷 ] 的 数据 ， 也 可 以 只 备份 用 户 选择 的 卷 或 状态 信息 ， 应 用 非常 
方便 。 

(D 新 增 功 能 

相对 先前 Windows 系统 中 的 备份 和 还 原 工 具 ，Windows Server Backup 包括 如 下 改进 。 

于。 速度 更 快 。Windows Server Backup 使 用 卷 影 复制 服务 (VSS) 和 块 级 别 的 备份 技术 ， 对 系统 数据 和 

服务 器 数据 进行 备份 。 用 户 只 需 第 一 次 创建 一 个 完整 的 备份 , 接 下 来 执行 Windows Server Backup 
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的 增 量 备份 功能 ， 即 可 快速 完成 完整 备份 ， 所 需 时 间 更 少 ， 效 率 更 高 。 

操作 简单 。 无 论 是 数据 库 备 份 、 还 原 还 是 制定 备份 计划 ， 完 全 在 向 导 指引 下 完成 ， 操 作 更 加 简便 。 
另外 ， 用 户 还 可 以 从 备份 中 选择 需要 恢复 的 单个 项 目 进行 操作 ， 而 不 必 进 行 全 面 恢 复 ， 既 节约 时 
间 又 可 以 避免 不 必要 的 数据 徐 盖 。 

系统 恢复 更 简单 。Windows Server Backup 与 新 的 Windows 恢复 工具 配合 使 用 ， 使 操作 系统 恢复 
更 加 简单 ， 而 且 还 可 以 使 用 副本 ， 对 其 他 类 似 硬件 配置 的 服务 器 进行 系统 恢复 (通常 为 未 安装 任何 
系统 的 全 新 计算 机 )。 

恢复 应 用 程序 。Windows Server Backup 可 以 使 用 内 置 到 应 用 程序 中 的 VSS 功能 来 保护 应 用 程序 
数据 。 

非 现 场 删除 备份 以 便 进行 灾难 保护 。Windows Server Backup 可 以 将 备份 轮流 保存 到 多 个 磁盘 中 ， 
这 样 使 管理 员 可 以 在 非 现场 位 置 移 动 磁盘 ， 将 每 个 磁盘 添加 为 一 个 计划 备份 的 位 置 。 如 果 第 一 个 
磁盘 不 在 现场 ， 则 Windows Server Backup 会 自动 将 备份 顺序 保存 到 下 一 个 磁盘 中 。 

远程 管理 。Windows Server Backup 是 基于 MMC 控制 台 的 , 管理 员 可 以 将 它 轻 松 连接 至 另 一 台 远 
程 计 算 机 上 ， 实 现 远 程控 制 。 

自动 磁盘 使 用 情况 管理 。 在 实施 备份 计划 时 ，Windows Server Backup 会 自动 检查 磁盘 的 使 用 情 
况 ， 如 果 剩余 空间 不 足 ， 将 自动 重复 使 用 陈旧 备份 的 空间 。 

扩展 命令 行 支持 。Windows Server Backup 包含 Wbadmin 命令 和 文档 , 管理 员 可 以 在 命令 提示 符 
窗口 中 执行 备份 和 恢复 任务 。 

支持 光学 存储 介质 。Windows Server Backup 允许 管理 员 通 过 手动 方式 ， 将 卷 直 接 备 份 到 光盘 或 
其 他 可 移动 存储 介质 上 。 


(2] 安装 Windows Server Backup 
Windows Server Backup 是 Windows Server 2008 中 唯一 的 备份 工具 ， 备 份 活动 目录 数据 库 时 ， 需 要 
用 到 其 中 的 命令 行 工具 。 该 命令 行 工具 只 能 随同 Windows Server Backup 一 起 安装 ， 位 于 “服务 器 管理 器 ” 
的 “添加 功能 ”向 导 中。 安装 步骤 如 下 。 
@ 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 打 开 “ 服 务 器 管理 器 ”窗口 并 展开 
“功能 ”， 单 击 “ 添 加 功能 ”命令 ， 显 示 如 图 15-1 所 示 的 “添加 功能 向 导 ” 对 话 框 。 在 “功能 ” 
列表 框 中 选中 “Windows Server Backup 功能 ” 复 选 框 即 可 。 系 统 默认 不 会 选中 “命令 行 工具 ” 

复 选 框 ， 如 果 手 动 选 中 ， 将 显示 如 图 15-2 所 示 的 “是 否 添加 命令 行 工具 所 需 的 功能 ”界面 。 


半 必 功能 


图 15-1 


“添加 功能 向 导 ” 对 话 框 


EE ， 革 
如 


是 青水 加 二 令 行 工具 际 洛 的 功 第 ? 

ET 四 

Ey Mit 
ms 


15-2 “是 否 添加 命令 行 工具 所 需 的 功能 ”界面 
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@ Windows Server 2008 


| 提示: “命令 行 工具 ”允许 管理 员 使 用 Windows PowerShell 脚本 ， 创 建 并 管理 此 服务 器 的 计划 备份 以 及 
高 级 还 原 模式 .对 于 域 控制 器 而 言 必须 选择 此 组 件 ， 否 则 无 法 进行 活动 目录 数据 库 的 还 原 ， 普 通用 户 建 
议 使 用 UI 界 面 即 可 。 


回 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 15-3 所 示 的 “确认 安装 选择 ”界面 ， 列 表 框 中 显示 了 前 面 选择 的 


要 安装 的 功能 。 
图 单 击 “ 安 装 ” 按 钮 开始 安装 。 完 成 后 显示 如 图 15-4 所 示 的 “安装 结果 ”界面 。 
HE | Ee EJ 
EP E sea 

Im EER TA. NEBRAE, We 上 

E oo 

Sa Sa 

上 -D9) Cas LL2) EET 
图 15-3 “确认 安装 选择 ”界面 图 15-4 “安装 结果 ”界面 


@ 单 击 “ 关 闭 ” 按 钮 ， 退 出 安装 向 导 ， 完 成 Windows Server Backup 功能 的 安装 。 
3. 备份 活动 目录 数据 库 
Windows Server Backup 备份 向 导 ， 可 以 帮助 用 户 快速 备份 磁盘 分 区 和 所 有 系统 数据 ， 但 无 法 用 来 单 
独 备份 Active Directory 目录 数据 库 ， 即 系统 状 ; 。Wbadmin 命令 行 备份 为 网 络 管理 员 提 供 自由 的 备 
份 模式 ， 主 要 功能 就 是 备份 Active Directory 服务 器 的 系统 状态 ， 在 域 控制 器 工作 过 程 中 即 可 完成 。 主 要 操 
作 步 骤 如 下 。 
@ 以 具有 管理 员 权限 的 用 户 账户 登录 服务 器 ， 依 次 选择 “开始 ”一 “命令 提示 符 ” 命 令 ， 打 开 “ 管 
理 员 : 命令 提示 符 ” 窗 口 。 直 接 输入 “wbadmin” 命 令 并 按 Enter 键 ， 即 可 查看 其 帮助 信息 ， 如 
图 15-5 所 示 。 


图 15-5 wbadmin 命令 帮助 信息 
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回 输入 如 下 命令 : 

Wbadmin get disks 

按 Enter 键 运行 ， 查 看 当前 服务 器 连接 到 的 磁盘 ， 即 所 有 磁盘 分 区 ， 显 示 如 图 15-6 所 示 的 结果 。 
图 输入 如 下 命令 : 

wbadmin STRRT SYSTEMSTATEBACKUP -backuptarget:d: 


按 Enter 键 ， 显 示 如 图 15-7 所 示 的 结果 ， 将 系统 } 
分 区 即 可 ， 备 份 向 导 将 自动 根据 当前 


状态 信 息 备 份 到 D 盘 根 目 录 下 。 管 理 员 只 需 指定 目标 
日 期 和 时 间 ， 命 名 备份 文件 ， 以 便 日 后 区 分 。 


15-6 ”检查 已 连接 的 磁盘 图 15-7 备份 系统 状态 信息 
@ 系统 提示 是 否 需 要 创建 备份 卷 的 卷 影 副本 ， 输 入 “y”( 或 “是 ”] 并 按 Enter 键 ， 开 始 收集 关联 文 
件 ， 如 图 15-8 所 示 。 文 件 收集 完成 后 ， 将 自动 开始 执行 备份 过 程 。 
加 备份 完成 后 ， 显 示 如 图 15-9 所 示 的 窗口 。 


15-8 ”开始 收集 关联 文件 图 15-9 备份 完成 


@ ”关闭 “管理 员 ; 命令 提示 符 ” 窗 口 ， 建 议 重新 启动 计算 机 ， 因 为 数据 库 备份 必须 在 重新 启动 之 后 
方 可 应 用 。 


15.1.2 ”活动 目录 数据 库 的 恢复 
域 控制 器 的 数据 库 损坏 或 数据 丢失 ， 将 直接 影响 到 网 络 功能 的 提供 ， 尤 其 是 在 单 域 网 络 环境 中 ， 活 动 
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目录 数据 库 的 备份 显得 更 为 重要 。 如 果 仅 是 数据 库 故障 ， 则 直接 使 用 备份 文件 恢复 数据 库 即 可 。 需 要 注意 
的 是 ,活动 目录 数据 库 的 恢复 ， 需 要 在 “目录 服务 还 原 模式 ”下 完成 ， 主 要 操作 步骤 如 下 。 
Q@ 在 启动 域 控制 器 时 , 按 F8 键 启动 到 “ 启动 选项 画面 , 如 图 15-10 所 示 。 只 有 安装 Windows 


Server Backup 中 的 命令 行 工具 后 ， 启 动 菜 单 中 才 会 出 现 “ 目 录 服 务 还 原 模式 ”选项 。 
@ ”选择 “目录 服务 还 原 模式 ”并 按 Enter 键 ， 开 始 启动 系统 。 注 意 ， 必 须 以 本 地 系统 管理 员 账 户 登 
录 系 统 ， 如 图 15-11 所 示 。 此 时 的 域 控制 器 是 不 可 用 的 。 


图 15-10 “高 级 启动 选项 ”画面 图 15-11 登录 系统 
@@ 启动 到 Windows 安全 模式 后 ， 打 开 “ 命 令 提 示 符 ”窗口 ， 输 入 如 下 命令 : 
wbadmin get versions 
按 Enter 键 ， 显 示 如 图 15-12 所 示 的 结果 。 恢 复 目 录 数 据 库 时 是 通过 每 次 备份 的 版 本 信息 确定 的 ， 默 
认 格式 为 mm/dd/yyyy-hh:mm， 如 06/01/2008-08:49。 
@ 继续 输入 如 下 命令 : 


wbadmin start systemstaterecovery -version: 06/01/2008-08:49 


按 Enter 键 ， 显 示 如 图 15-13 所 示 的 结果 ， 提 示 网 络 管理 员 是 否 要 执行 系统 状态 恢复 。 


15-12 ”查看 备份 版 本 标识 15-13 ”是 否 执行 系统 状态 恢复 


统 状态 恢复 ， 提 示 网 络 管理 员 使 用 的 复制 引擎 
类 型 。 如 果 复 制 引 擎 类 型 不 同 ， 系 统 状态 将 不 能 正确 恢复 ， 如 图 15-14 所 示 。 


回 输入 “Y”( 或 “是 ”) 并 按 Enter 键 ， 确 认 要 执行 系 
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回 ”恢复 完成 后 ， 显 示 如 图 15-15 所 示 的 结果 ， 提 示 用 户 需 要 重新 启动 计算 机 才能 使 恢复 生效 。 需 要 
统 文件 比较 多 ， 重 新 启动 服务 器 可 能 需要 较 长 的 时 间 。 


注意 的 是 ， 由 于 被 恢复 的 系 


图 15-14 ”正在 处 理 要 还 原 的 文件 图 15-15 恢复 完毕 


状态 已 经 成 功 恢复 , 按 Enter 


@ 重新 启动 完成 后 ， 显 示 如 图 15-16 所 示 的 命令 提示 符 窗口 ,提示 系 
键 继续 。 
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图 15-16 系统 状态 恢复 成 功 


@@ 按 Enter 键 即 可 进入 系统 。 


15.1.3 恢复 任意 时 间 活 动 目录 数据 库 备 份 


活动 目录 数据 库 的 恢复 需要 一 个 良好 的 备份 ， 即 备份 时 间 离 当前 时 间 不 超过 系统 默认 的 时 间 限 制 。 当 
活动 目录 中 的 一 个 对 象 被 删除 时 ， 并 不 是 彻底 地 消失 上 ， 这 时 的 对 象 变 成 了 一 个 临时 被 标记 为 “ 墓 
碑 ” 的 记录 。 一 定时 间 之 后 ， 系 统 才 会 将 标记 为 “墓碑 ”的 记录 永久 删除 。 因 此 ， 在 “墓碑 ”记录 被 删除 
之 前 ， 管 理 员 仍 然 可 以 通过 数据 库 备份 恢复 被 删除 用 户 的 账户 信 对 于 超过 时 间 限 制 的 备份 ， 即 使 能 够 
恢复 ， 域 中 的 客户 端 信息 也 将 失去 同步 功能 ， 彼 此 之 间 的 安全 通道 将 被 破坏 。 


(mk 


{ 


提示 : 在 Windows Server 2003 系统 中 “墓碑 ”记录 的 默认 保留 时 间 为 60 天 ， 而 在 Windows Server 2008 
和 Windows Server 2003 SP1 系统 中 默认 为 180 天 . 若 想 恢复 任意 时 间 的 活动 目录 数据 库 备份 , 必须 将 “ 墓 
碑 ”记录 保留 足够 长 的 时 间 。 
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和 ED 


四” 单 击 “ 开 始 ” 一 “运行 ”命令 , 在 出 现 的 “运行 ”对 话 框 的 “打开 ”文本 框 中 , 输入 “adsieditmsc” 
并 按 Enter 键 ， 显 示 如 图 15-17 所 示 的 ADSI Edit 窗口 。Active Directory 服务 界面 编辑 器 (ADSI 
编辑 ) 是 一 个 轻型 目录 访问 协议 (LDAP) 编 辑 器 , 类似 于 组 策略 编辑 器 和 注册 表 编 辑 器 , 可 用 来 管理 
Active Directory 域 服务 中 的 对 象 和 属性 。 

回 右 击 ADSIEdit 并 从 弹出 的 快捷 菜单 中 选择 “连接 到 ”命令 ， 显 示 如 图 15-18 所 示 的 “连接 设置 ” 
对 话 框 。 在 “连接 点 ”选项 区 域 中 ， 选 择 “ 选 择 一 个 已 知 命名 上 下 文 ” 单 选 按钮 ， 并 选择 下 拉 列 
表 中 的 “配置 ”选项 。 在 “计算 机 ”选项 区 域 中 ， 系 统 默认 选择 “默认 (您 登录 到 的 域 或 服务 器 ]” 
单 选 按钮 ， 如 果 需 要 连接 其 他 服务 器 ， 则 可 以 选择 “选择 或 键入 域 或 服务 器 ” 单 选 按钮 ， 选 择 服 
务 器 并 指定 通信 端口 。 


误 件 的 人 O ED 
ET 
园 : 


Sm FE 
IE) Pm 
rr 


人 这 香 一 个 已 知 命名 上 下 文 内 ): 
3 a 


机- 
人 这 各 或 键入 起 开 肛 务 器 ) 乓 务 器 | 并 [ 油 口 ]) 


[rr | 


村 (说 玉 肌 或 朋 务 吕 ) ) 
厂 使 有 基干 SL 的 可 密 ) 
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图 15-17 ADSI Edit 窗口 图 15-18 “连接 设置 ”对 话 框 


@ 单 击 “ 确 定 ” 按 钮 ， 返 回 ADSI Edit 窗口 ， 如 图 15-19 所 示 。 依 次 展开 “配置 [lxh.coolpen.net]” 
一 CN=Configuration,DC=coolpen,DC=net 一 CN=Services 一 CN=Windows NT 一 CN=Directory 
Service 节点 。 


@ 右 击 CN=Directory Service, 选择 快捷 菜单 中 的 “属性 ”命令 , 显示 如 图 15-20 所 示 的 “CN=Directory 
Service 属性 ”对 话 框 。 


15-19 ”展开 配置 分 区 15-20 


“CN=Directory Service 属性 ”对 话 框 
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@@， 选中 TombstoneLifetime 并 单 击 “ 编 辑 ” 按 钮 ， 显 示 如 划 
图 15-21 所 示 的 “整数 属性 编辑 器 ”对 话 框 。 在 “ 值 ” 2 


文本 框 中 ， 输 入 新 的 “墓碑 ”生存 时 间 即 可 ， 如 3600， 人 
默认 时 间 单 位 为 天 。 


@@ ”连续 单 击 “ 确 定 ” 按 钮 保存 设置 ， 完 成 墓碑 生存 时 间 的 。 图 15-21 “整数 属性 编辑 器 ”对 话 框 
修改 。 


15.1.4 ”使 用 授权 还 原 模式 恢复 个 别 对 象 


在 默认 情况 下 ， 使 用 Windows Server Backup 或 Ntbackup 还 原 Active Directory 数据 库 的 模式 为 非 授 
权 还 原 ， 使 用 此 方式 还 原 Active Directory 后 ， 将 从 其 他 的 域 控制 器 中 同步 复制 数据 库 。 同 步 完成 后 ， 
管理 员 会 发 现 已 经 删除 的 用 户 没 有 被 正常 恢复 ， 因 为 此 用 户 的 “墓碑 记录 ”已 从 其 他 服务 器 上 被 成 功 复 人 
此 时 ， 可 以 使 用 Active Directory 备份 恢复 没有 删除 用 户 的 数据 库 ， 然 后 使 用 “授权 还 原 ” 的 方法 禁止 域 中 
的 其 他 域 控制 器 复制 同步 Active Directory 数据 库 。 主 要 操作 步骤 如 下 。 

Q@ 将 需要 的 的 制 器 断 网 网 络 连接 ， 并 使 用 常规 方法 首先 还 原 备 份 的 Active Directory 数据 库 。 

@ 单 击 “ 开 始 ” 一 本 ， 在 出 现 的 “运行 ”对 话 框 的 “打开 ”文本 框 中 ， 输 入 “cmd” 并 
安 Enter 键 ， 打 开 命 令 提示 符 窗口 ， 输 入 如 下 命令 : 


ntdsutil 


核 Enter 键 运行 ， 显 示 如 图 15-22 所 示 的 结果 。 
@ 在 ntdsutil 命令 提示 符 后 ， 输 入 如 下 命令 激活 NTDS Active Directory 数据 库 实例 : 


activate instance ntds 


区 Enter 键 运 行 ， 显 示 如 图 15-23 所 示 的 结果 。 


图 15-22 启动 ntdsutil 管理 工具 图 15-23 将 NTDS 设置 为 活动 实例 


@ 继续 输入 如 下 命令 ， 将 NTDS 绑 定 到 当前 域 控制 器 : 


authoritative restore 


按 Enter 键 运行 后 转 入 authoritative restore， 继 续 输 入 如 下 命令 : 


restore object cn=lihn,ou= 测 试 ,dc=coolpen,dc=net 
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按 Enter 键 运行 ， 显 示 如 图 15-24 所 示 的 “授权 还 原 确认 对 话 ” 对 话 框 。 
回 ” 单 击 “ 是 ”按钮 ， 开 始 执行 恢复 过 程 。 执 行 结果 如 图 15-25 所 示 。 


EESTEE 


@ ss 


图 15-24 “授权 还 原 确认 对 话 ” 对 话 框 


图 15-25 开始 恢复 指定 对 象 


@ ”连续 输入 并 运行 两 次 quit 命令 ， 返 回 到 命令 窗口 ， 完 成 已 删除 对 象 的 恢复 。 


© 注意 ， 在 执行 授权 还 原 的 过 程 中 ， 要 指明 对 象 。 


15.2 备份 服务 状态 信息 


Windows Server 2008 系统 提供 了 大 量 的 系统 服务 和 应 用 服务 ， 包 括 DHCP 服务 、DNS 服务 、IIS 服务 


等 ， 这 些 服务 在 企业 的 运营 平台 中 发 挥 着 关键 的 作用 。 通 常情 况 下 ， 服 务 器 状态 信息 存储 在 注册 表 中 ， 备 
份 相应 的 键 值 即 可 实现 对 服务 器 状态 信息 的 备份 。 当 服务 器 角色 出 现 故 障 或 死机 时 ， 管 理 员 只 需 使 用 服务 
状态 信息 备份 ， 即 可 还 原 系统 中 正在 运行 的 服务 。 


15.2.1 备份 服务 状态 
单 击 “ 开 始 ”一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 的 “打开 ” 文 


Q@ 以 管理 员 账户 登录 系统 ， 
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本 框 中 输入 “regedit” 命 令 并 按 Enter 键 ， 打 开 “ 注 册 表 编辑 器 ”窗口 。 

回 ”依次 展开 HKEY LOCAL MACHINE 一 SYSTEM 一 CurrentControlSet 一 Services 节点 ， 各 个 服务 的 状 
态 都 存储 在 下 面 的 子 项 中 ， 网 络 管理 员 只 要 将 其 备份 出 来 即 可 ， 如 图 15-26 所 示 。 

图 右 击 Services 并 选择 快捷 菜单 中 的 “导出 ”命令 ， 显 示 “ 导 出 注册 表 文 件 ” 对 话 框 ， 选 择 备份 文 
件 所 要 存储 的 路 径 , 并 指定 备份 的 文件 名 , 单 击 “ 保 存 ” 按钮 即 可 完成 Windows 服务 状态 的 备份 。 
备份 的 文件 是 扩展 名 为 .reg 的 注册 表 文件 ， 如 图 15-27 所 示 。 


图 15-26 ”服务 信息 在 注册 表 中 的 位 置 图 15-27 “导出 注册 表 文 件 ” 对 话 框 


15.2.2 ”恢复 服务 状态 


当 Windows 服务 出 现 问题 的 时 候 ， 只 要 选择 导出 的 注册 表 文件 ， 双 击 运 行 ， 将 备份 的 文件 重新 导入 到 
注册 表 中 ， 即 可 解决 系统 服务 出 现 的 问题 ， 如 图 15-28 所 示 。 成 功 导入 注册 表 文 件 后 ， 需 要 重新 启动 计算 
机 才能 使 服务 生效 。 


as 


研 定 要 引 红 四” 


Law ] so | 


图 15-28 导入 注册 表 文件 
15.3” DHCP 服务 器 备份 


在 规模 较 大 的 局 域 网 中 , 网 管 一 般 会 采用 DHCP 服务 器 为 客户 机 统一 分 配 TCP/IP 配置 信息 。 但 如 果 因 
为 管理 员 的 误 操作 或 其 他 一 些 因素 ， 使 DHCP 服务 器 的 配置 信息 出 错 或 丢失 ， 将 会 直接 导致 网 络 内 的 计算 
机 不 能 正常 访问 网 络 。 如 果 采 用 手动 恢复 非常 麻烦 ， 而 且 工作 量 较 大 。 同 时 ， 在 DHCP 服务 器 中 还 可 能 包 
含 多 个 作用 域 ， 并 且 每 个 作用 域 中 又 会 包含 不 同 的 IP 地 址 段 、 网 关 地址 、DNS 服务 器 等 参数 。 因 此 ， 对 
DHCP 服务 器 的 备份 工作 ， 也 是 这 些 网 络 服务 器 中 一 项 不 可 缺少 的 工作 。 
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15.3.1 内置 工 具 
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1. 备份 DHCP 数据 库 


在 DHCP 服务 器 中 ， 已 经 内 置 了 备份 和 还 原 功能 ， 而 且 操 作 也 非常 简单 。 

@ 在 DHCP 控制 台 窗口 中 ， 右 击 DHCP 服务 器 名 选项 ， 从 弹出 的 快捷 菜单 中 选择 “备份 ”命令 ， 如 
图 15-29 所 示 。 

回 在 打开 的 “浏览 文件 夹 ” 对 话 框 中 , 指定 备份 文件 的 存放 路 径 , 单 击 “ 确 定 ” 按 钮 , 即 可 完成 DHCP 
服务 器 配置 信息 的 备份 工作 ， 如 图 15-30 所 示 。 


文 作 o， 损 作 w) 寺 章 中。 大 鸡 0 | 
井中 | 才 | 四 | 日 al 四 也 | 是 里 
区 


图 15-29 DHCP 控制 台 图 15-30 ”存放 DHCP 备份 文件 的 位 置 


2. 还 原 DHCP 数据 库 

@ 如 果 DHCP 配置 信息 损坏 ， 需 要 进行 恢复 时 ， 可 右 击 DHCP 服务 器 名 选项 ， 从 弹出 的 快捷 菜单 中 
选择 “还 原 ” 命 令 ， 如 图 15-31 所 示 。 

@ 系统 显示 “浏览 文件 夹 ”对 话 框 ， 用 户 可 以 根据 备份 文件 的 路 径 来 指定 备份 文件 所 在 的 路 径 ， 如 
图 15-32 所 示 。 


图 15-31 还 原 DHCP 数据 库 图 15-32 ”指定 备份 文件 的 位 置 

@ 单 击 “ 确 定 ” 按 钮 后 ， 显 示 DHCP 信息 提示 框 ， 如 图 15-33 

所 示 。 为 了 使 改动 生效 ， 必 须 停止 DHCP 服务 并 重新 启动 该 
服务 。 
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图 15-33 ”DHCP 提示 信息 


15.3.2 NETSH 命令 

除 上 述 方式 外 ， 管 理 员 还 可 以 通过 命令 行 的 方式 进行 备份 操作 ， 从 而 达到 备份 DHCP 服务 数据 库 的 
目的 。 

1. 备份 DHCP 数据 库 

以 管理 员 账 户 登录 服务 器 系统 ， 在 “命令 提示 符 ” 窗 口中 ， 输 入 以 下 命令 : 

netsh dhcp server export c:\dhcp.txt all 


按 Enter 键 确认 ， 即 可 完成 对 DHCP 服务 器 的 备份 ， 所 有 的 DHCP 信息 将 被 存储 在 文本 文件 中 ， 如 
图 15-34 所 示 。 


15-34 ”脚本 方式 备份 DHCP 服务 数据 库 


2. 还 原 DHCP 数据 库 
如 果 需 要 还 原 DHCP 数据 库 ， 只 需 在 “命令 提示 符 ” 窗 口中 ， 输 入 以 下 命令 : 
netsh dhcp server import c:\dhcp.txt all 


按 Enter 键 确认 ， 即 可 完成 DHCP 服务 器 数据 库 的 恢复 。 
15.3.3 ”DHCP 移植 


如 果 要 将 一 台 Windows Server 2008 系统 的 DHCP 服务 器 中 的 数据 库 , 移植 到 男 一 台 Windows Server 
2008 系统 的 DHCP 服务 器 中 ， 同 样 使 用 netsh 命令 可 以 轻松 地 完成 。 

@ 在 源 DHCP 服务 器 中 ， 进 入 “命令 提示 符 ” 窗 口 ， 运 行 netsh dhcp server export c:\dhcp.txt all 命 
令 ， 将 DHCP 服务 器 中 的 数据 库 备份 到 C 盘 的 dhcp.txt 文件 中 。 

@ 将 dhcp.txt 备份 文件 复制 到 目标 DHCP 服务 器 的 C 盘 根 目录 下 ， 在 “命令 提示 符 ” 窗 口中 ， 运 行 
netsh dhcp server import c:\dhcp.txt all 命令 ， 即 可 完成 DHCP 服务 器 数据 库 的 移植 工作 。 

移植 DHCP 服务 器 时 ， 应 注意 如 下 事项 。 

”在 备份 数据 库 文件 夹 时 ， 必 须 选 择 服务 器 的 一 个 本 地 驱动 器 。 

@ DHCP 服务 会 在 正常 操作 的 过 程 中 ， 自 动 创建 DHCP 数据 库 的 备份 文件 。 该 数据 库 备 份 副本 默认 
的 存储 位 置 为 systemroot\System32\Dhcp\Backup。 

@ 建议 用 户 使 用 Windows 备份 程序 (ntbackup.exe), 或 非 Microsoft 备份 软件 将 DHCP 数据 库 备 份 到 
本 地 驱动 器 以 外 的 位 置 。 

mm ”如果 将 手动 创建 的 DHCP 数据 库 备 份 ， 存 储 在 与 DHCP 服务 器 每 60min 创建 一 次 的 同步 备份 相同 
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的 位 置 ， 则 进行 自动 备份 时 ， 手 动 备份 将 被 蓝 盖 。 
15.4 磁盘 配额 备份 


使 用 Windows 系统 提供 的 磁盘 配额 功能 ,可 以 对 每 个 用 户 所 使 用 的 磁盘 容量 进行 限制 。 但 是 如 果 服 务 
器 由 于 某 些 原因 ， 或 者 因为 重新 安装 服务 器 操作 系统 和 其 他 原因 造成 配置 信息 丢失 ， 那 么 手工 恢复 起 来 就 
需要 大 量 的 时 间 。 因 此 网 络 管理 员 在 备份 系统 服务 的 同时 ， 还 应 备份 好 磁盘 配额 项 目的 信息 。 


15.4.1 备份 磁盘 配额 


@ 右 击 启用 磁盘 配额 的 分 区 (以 D 盘 为 例 ), 选择 快捷 菜单 
中 的 “属性 ”命令 ， 在 显示 的 对 话 框 中 切换 到 “配额 ” 
选项 卡 ， 单 击 “ 配 额 项 ”按钮 ， 显 示 如 图 15-35 所 示 的 

“(D:] 的 配额 项 ”窗口 。 

加 碳 击 希望 备份 的 配额 项 目 , 并 选择 快捷 菜单 中 的 “导出 ” 
命令 ， 显 示 “ 导 出 配额 设置 ”对 话 框 。 指 定 保存 备份 文 
件 的 目录 后 单 击 “ 确 定 ”按钮 ， 即 可 开始 备份 。 也 可 以 
同时 导出 多 个 配额 项 目 。 


图 15-35 “(D:) 的 配额 项 ”窗口 
15.4.2 还原 磁盘 配额 


在 配额 项 目 管理 对 话 框 中 ， 单 击 “ 配 额 ”一 “导入 ”命令 ， 即 可 选择 已 保存 的 备份 文件 。 还 原 磁盘 配额 设 
置 时 ， 系 统 会 显示 如 图 15-36 所 示 的 “磁盘 配额 ”对 话 框 。 单 击 “ 是 ”按钮 ， 即 可 完成 磁盘 配额 项 目的 还 原 。 


EANE 


Ces sater eat -lh 
— | 
EE 
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厂 对 所 有 本 而 进行 入 天 作 
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图 15-36 “磁盘 配额 ”对 话 框 


15.5 DNS 服务 器 备份 


DNS 服务 器 担负 着 域名 解析 的 工作 ， 其 重要 性 不 言 而 喻 。 如果 网 络 中 的 DNS 服务 器 出 现 问 题 或 者 信息 
数据 丢失 的 话 ， 则 服务 器 将 无 法 完成 域名 的 解析 工作 。 因 此 ， 平 时 要 经 常 对 DNS 服务 器 的 数据 信息 进行 备 
份 。 当 发 现 DNS 服务 器 出 现 问题 时 ， 可 以 方便 地 使 用 备份 文件 快速 恢复 DNS 服务 器 的 工作 。DNS 服务 器 
数据 的 备份 分 两 步 进行 首先， 要 备份 注册 表 中 的 DNS 服务 器 的 相关 信息 ; 其 次 ， 要 备份 域名 解析 时 所 使 
用 的 DNS 数据 信息 。 
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5.5.1 DNS 注册 表 信 息 备 份 


1. 备份 DNS 服务 信息 


@ 打开 注册 表 编 辑 器 ， 在 左 侧 的 层次 列表 中 依次 展开 HKEY LOCAL MACHINE 一 System 一 
CurrentControlSet 一 Services 一 DNS” 节 点 ， 只 要 将 此 键 值 下 的 所 有 数据 备份 出 来 即 可 。 

@ 选中 DNS 项目， 单 击 “ 文 件 ”菜单 中 的 “导出 ”命令 ， 显 示 “ 导 出 注册 表 文件 ”对 话 框 ， 指 定 备 
份 文件 的 存放 路 径 和 文件 名 即 可 ， 如 图 15-37 所 示 。 


© 注意 ， 在 备份 服务 状态 的 时 候 ， 其 实 就 已 经 备份 了 DNS 信息 ， 但 是 为 了 备份 和 还 原 DNS 数据 的 简易 性 
和 方便 性 ， 建 议 对 DNS 数据 进行 单独 备份。 


2. 备份 DNS Server 服务 信息 


Q@ ”打开 注册 表 编辑 器 , 在 左 侧 的 层次 列表 中 依次 展开 HKEY_LOCAL_MACHINE 一 Software 一 Microsoft 
一 Windows NT 一 CurrentVersion 一 DNS Server 节点 ， 将 此 键 值 下 的 所 有 数据 备份 出 来 即 可 。 
@ 选中 DNS Server 项 目 ， 单 击 “ 文 件 ”菜单 中 的 “导出 ”命令 ， 显 示 “ 导 出 注册 表 文 件 ”对 话 框 ， 


站 小 划 
FN LA WEDENSUFNEWIGWOENINAI CGIGUWGSIOGUG Server | 
图 15-37 备份 注册 表 的 DNS 服务 信息 图 15-38 备份 注册 表 的 DNS Server 服务 信息 
15.5.2 DNS 数据 文件 备份 
“DNS 注册 表 信 息 备份 ”备份 的 是 注册 表 中 的 信息 ， 
但 其 中 并 不 包 仿 域 名 解析 时 ， 所 使 用 的 域名 数据 信息 ， 。 居于 ee 加 | 
这 部 分 内 容 需 要 单独 进行 备份 。 交加 而 一 W 大 可 宙 m 


c:N\windowsNsystem32N\dns 目录 ， 将 后 组 为 .dns 的 所 有 
文件 备份 出 来 ， 这 些 文件 中 存储 的 就 是 域名 解析 时 所 使 


用 


打开 DNS 服务 器 的 资源 管理 器 ， 进 入 到 


的 域名 数据 信息 ， 这 样 就 完成 了 域名 数据 的 备份 操 


作 ， 如 图 15-39 所 示 。 


二 和 本 Dn 


图 15-39 备份 DNS 数据 文件 [5611 
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15.5.3 ”DNS 数据 还 原 


当 DNS 服务 器 出 现 问 题 ， 就 可 以 使 用 备份 的 两 部 分 数据 进行 恢复 。 

Q@@ 运行 备份 的 两 个 注册 表 文 件 ， 将 其 导入 到 注册 表 中 。 

@ ”将 后 组 为 .dns 的 所 有 文件 履 盖 c:\windows\system32\dns 目录 下 所 有 的 同名 文件 , 即 可 完成 DNS 
服务 器 的 数据 恢复 。 


© 注意 :在 完成 还 原 DNS 服务 器 的 工作 后 ， 建 议 重新 启动 DNS 服务 器 . 


15.6 ”WINS 服务 器 备份 


WINS 服务 器 为 NetBIOS 名 称 提供 名 称 注 册 、 更 新 、 释 放 和 转换 等 服务 ， 这 些 服务 允许 WINS 服务 器 
维护 一 个 将 NetBIOS 名 链接 到 IP 地 址 的 动态 数据 库 ， 大 大 减轻 了 网 络 的 负担 。 在 默认 情况 下 ， 网 络 上 的 每 
一 台 计 算 机 的 NetBIOS 名 称 ， 都 是 通过 广播 的 方式 来 进行 更 新 的 。 如 果 网 络 规模 比较 大 ，“ 广 播 ” 无 疑 会 
加 重 网 络 的 负担 。 因 此 ， 对 大 中 型 网 络 而 言 ， 备 份 WINS 服务 器 是 非常 重要 的 。 


15.6.1 备份 Wins 数据 库 


四 打开 WINS 控制 台 窗 口 。 右 击 WINS 服务 器 ， 并 从 弹出 的 快捷 菜单 中 选项 “备份 数据 库 ” 命 令 ， 
如 图 15-40 所 示 。 

@ 系统 显示 “浏览 文件 夹 ”对 话 框 。 选 择 WINS 数据 备份 的 位 置 ， 单 击 “确定 ”按钮 。 备 份 过 程 完 
成 之 后 ， 显 示 如 图 15-41 所 示 的 WINS 提示 框 。 单 击 “ 确 定 ”按钮 ， 即 可 完成 WINS 数据 库 的 
备份 。 
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图 15-40 备份 WINS 服务 数据 库 图 15-41 数据 库 备份 完成 提示 
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15.6.2 还原 Wins 数据 库 


中 右 击 控制 台中 所 使 用 的 WINS 服务 器 ， 从 弹出 的 快捷 菜单 中 选择 “还 原 数据 库 ” 命 令 ， 系 统 会 显 
示 “ 浏 览 文件 夹 ”对 话 框 。 

@ 选择 WINS 数据 库 还 原 的 位 置 ， 单 击 “ 确 定 ” 按 钮 开始 还 原 。 还 原 过 程 完成 之 后 ,重新 启动 WINS 
服务 即 可 完成 WINS 服务 器 的 还 原 工作 。 


15.7 ”网络 配置 备份 


作为 一 名 网 络 管理 员 ， 首 先 要 维护 网 络 安全 、 正 常 地 运行 ， 在 网 络 发 生 故 障 时 能 迅速 进行 恢复 。 在 网 
络 故障 恢复 过 程 中 ， 尤 为 重要 的 是 服务 器 网 络 设置 的 恢复 。Netsh 是 Windows 2000/XP/2003/Vista/2008 
操作 系统 自身 提供 的 命令 行 脚本 实用 工具 ， 人 允许 用 户 在 本 地 或 远程 显示 和 修改 当前 正在 运行 的 计算 机 的 网 
络 配置 ， 另外 也 可 以 将 配置 脚本 保存 在 文本 文件 中 。 


15.7.1 备份 服务 器 的 网 络 设置 


常规 服务 器 的 网 络 设置 包括 IP 地 址 设置 、 接 口 、 端 口 代理 、 远 程 访问 、 路 由 、DNS 代理 、NAT、DHCP 
中 继 代理 配置 等 。 这 些 网 络 参 数 的 设置 ， 根 据 服务 器 在 网 络 中 所 起 的 特殊 作用 而 有 所 不 同 。 只 有 对 网 络 服 
务 器 的 设置 进行 了 相应 的 备份 ， 才 能 在 网 络 设置 遇 到 毁灭 性 破坏 时 ， 迅 速 并 且 及 时 地 恢复 网 络 。 

在 命令 行 模式 下 输入 如 下 命令 : 


netsh dump >d:\NFC-lxh-2008.txt 


按 Enter 键 确认 ， 命 令 行 成 功 执行 ， 将 网 络 设置 备份 到 cx\bakltxt 文件 中 ， 该 文件 为 一 个 文本 文件 ， 
如 图 15-42 所 示 。 


eset 
set global icmpredirects=enabled dhcpmediasense=disabled 

ladd route prefix=0. 0.0. 070 interface=“ 本 地 连接 ”nexthop=211. 8; 
add address name= 本 地 连接 ”address=211. 82. 218. 247 


15-42 ”备份 服务 器 的 网 络 设置 
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15.7.2 ”恢复 服务 器 的 网 络 设置 


在 进行 网 络 设置 调整 时 ， 如 果 发 生 了 操作 失误 ， 或 者 服务 器 的 网 络 发 生 故 障 ， 可 以 利用 备份 快速 恢复 
网 络 设置 。 

在 命令 行 模式 下 输入 如 下 命令 : 

nesh exec d:\NFC-1xh-2008.txt 

按 Enter 键 确认 ， 命 令 成 功 执行 ， 即 可 将 已 经 备份 好 的 网 络 设置 还 原 到 系统 中 。 该 命令 非常 适合 网 络 
管理 人 员 用 来 对 服务 器 网 络 设置 进行 备份 和 恢复 管理 。 
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